JP6653368B2 - Authentication server, authentication system and program - Google Patents
Authentication server, authentication system and program Download PDFInfo
- Publication number
- JP6653368B2 JP6653368B2 JP2018230779A JP2018230779A JP6653368B2 JP 6653368 B2 JP6653368 B2 JP 6653368B2 JP 2018230779 A JP2018230779 A JP 2018230779A JP 2018230779 A JP2018230779 A JP 2018230779A JP 6653368 B2 JP6653368 B2 JP 6653368B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- terminal
- image code
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 183
- 230000005540 biological transmission Effects 0.000 claims description 98
- 238000000034 method Methods 0.000 claims description 75
- 230000008569 process Effects 0.000 claims description 71
- 230000004044 response Effects 0.000 claims description 10
- 230000008520 organization Effects 0.000 description 73
- 238000004891 communication Methods 0.000 description 30
- 230000006870 function Effects 0.000 description 27
- 238000012790 confirmation Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 12
- 235000014510 cooky Nutrition 0.000 description 11
- 238000012217 deletion Methods 0.000 description 9
- 230000037430 deletion Effects 0.000 description 9
- 238000011161 development Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 5
- 230000001133 acceleration Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000003384 imaging method Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、認証サーバ、認証システム及びプログラムに関する。 The present invention relates to an authentication server, an authentication system, and a program.
従来から、ユーザIDとパスワードとに基づき、ユーザを認証する認証サーバが存在する。また、近年は、クラウドコンピューティングと呼ばれるシステムによって、インターネットを介してユーザが何処からでもアクセスできるようになり、ユーザの利便性を図れるようになってきている。 Conventionally, there is an authentication server that authenticates a user based on a user ID and a password. In recent years, a system called cloud computing has made it possible for a user to access from anywhere via the Internet, thereby improving user convenience.
また、従来技術として、端末がサーバから回線識別情報を取得し、回線識別情報が端末側で予め記憶されている場合に決済処理を行うものが存在する(特許文献1の図1、0009段落参照)。 Further, as a conventional technique, there is one in which a terminal acquires line identification information from a server and performs a settlement process when the line identification information is stored in the terminal in advance (see FIG. 1, paragraph 0009 of Patent Document 1). ).
従来は、端末から入力されたユーザIDとパスワードとをイントラネットを介して認証サーバに送信することが多く、閉域化されたネットワーク上ではセキュリティ面で安全が確保される状況下にあった。 Conventionally, a user ID and a password input from a terminal are often transmitted to an authentication server via an intranet, so that security is secured on a closed network.
一方、クラウドコンピューティングでは、広域化されたネットワークであるので、端末から入力されたユーザIDとパスワードとがインターネットを介して認証サーバに送信することになり、イントラネットでの認証システムに比べて、盗聴やなりすまし等のセキュリティ上の問題が生じる可能性が高い。 On the other hand, in cloud computing, since a wide area network is used, a user ID and a password input from a terminal are transmitted to an authentication server via the Internet. There is a high possibility that security problems such as spoofing will occur.
最近では組織内のネットワークからだけではなく、組織外の特定の端末等から組織のシステムにアクセスする需要が高まっており、かかる場合のセキュリティの確保と運用・管理の容易性の両立が問題となっている。 In recent years, there has been an increasing demand for access to organizational systems not only from within the organization's network but also from specific terminals outside the organization, and in such cases, it has become a problem to ensure security and at the same time, ease of operation and management. ing.
本発明は、上述した課題に鑑みたものであり、クラウドコンピューティングにおけるユーザの利便性が高く、セキュリティが高い認証を行うことが可能な認証サーバ、認証システム及びプログラムを提供することにある。 SUMMARY An advantage of some aspects of the invention is to provide an authentication server, an authentication system, and a program that can perform highly secure authentication with high user convenience in cloud computing.
(1)本発明は、
第1の端末と、第2の端末と、ネットワークを介して接続される認証サーバであって、
前記第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から認証用端末識別情報の登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とと
もに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信
した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、を含む認証サーバに関する。
(1) The present invention
An authentication server connected to a first terminal, a second terminal, and a network,
Upon receiving an image code transmission request from the first terminal, a first condition relating to the validity of the user ID and the password received together with the image code transmission request, and the validity of the address information of the transmission source of the first terminal Determining a second condition relating to the first condition, generating authentication information when the first condition and the second condition are satisfied, and transmitting image code information for displaying the authentication information as an image code; Image code information transmission processing means for transmitting to the requesting first terminal;
Upon receiving the registration request for the terminal identification information for authentication from the second terminal, the first condition relating to the validity of the user ID and the password received together with the registration request, and the image code for authentication received together with the registration request Determining a third condition relating to the validity of the information, determining that the registration requirement is satisfied when the first condition and the third condition are satisfied, and determining the authentication received from the second terminal; Registration processing means for performing a process of registering the terminal identification information for use in the authentication database,
Upon receiving a given processing request from the second terminal, the first condition relating to the validity of the user ID and the password received together with the given processing request, and the authentication terminal identification information received together with the processing request. A fourth condition relating to the validity and a third condition relating to the validity of the information of the image code for authentication received together with the processing request are determined, and the first condition, the fourth condition, and the third condition are determined. When the condition is satisfied, it is determined that the processing requirement is satisfied, and the authentication processing means for permitting the given processing request is provided.
また、本発明は、コンピュータにより読み取り可能であって、上記各手段としてコンピュータを機能させるプログラムに関する。 Further, the present invention relates to a program readable by a computer and causing the computer to function as each of the above means.
また本発明は、
第1の端末と、第2の端末と、認証サーバとを利用した認証システムであって、
前記第1の端末は、
受け付けたユーザIDとパスワードとともに前記認証サーバに画像コード送信要求を送信する画像コード送信要求手段と、
前記画像コード送信要求に対応して前記認証サーバが送信した画像コード情報を受信して、当該画像コード情報に基づき画像コードを表示部に表示する画像コード表示処理手段と、を含み、
前記第2の端末は、
前記画像コードを撮影する撮影手段と、
撮影された前記画像コード又は当該画像コードを解読して取得した認証情報の少なくとも一部を含む認証用の画像コードの情報と、自機の認証用端末識別情報と、受け付けたユーザIDとパスワードとともに、前記認証用端末識別情報の登録要求を前記認証サーバに送信する登録要求手段と、を含み、
前記認証サーバは、
前記第1の端末から前記画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から前記登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記処理要求とともに受信
した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、を含む認証システムに関する。
The present invention also provides
An authentication system using a first terminal, a second terminal, and an authentication server,
The first terminal comprises:
Image code transmission requesting means for transmitting an image code transmission request to the authentication server together with the accepted user ID and password;
Image code display processing means for receiving image code information transmitted by the authentication server in response to the image code transmission request, and displaying an image code on a display unit based on the image code information,
The second terminal,
Photographing means for photographing the image code;
The information of the image code for authentication including at least a part of the captured image code or the authentication information obtained by decoding the image code, the terminal identification information for authentication of the own device, and the received user ID and password together with Registration request means for transmitting a registration request for the authentication terminal identification information to the authentication server,
The authentication server,
Upon receiving the image code transmission request from the first terminal, the first condition relating to the validity of the user ID and the password received together with the image code transmission request and the validity of the address information of the transmission source of the first terminal Determining a second condition relating to sex, generating authentication information when the first condition and the second condition are satisfied, and displaying image code information for displaying the authentication information as an image code. Image code information transmission processing means for transmitting to the transmission requesting first terminal;
Upon receiving the registration request from the second terminal, the first condition relating to the validity of the user ID and the password received together with the registration request and the validity of the information of the authentication image code received together with the registration request The third condition is determined, and when the first condition and the third condition are satisfied, it is determined that the registration requirement is satisfied, and the authentication terminal identification information received from the second terminal is determined. Registration processing means for registering in the authentication database;
Upon receiving a given processing request from the second terminal, the first condition relating to the validity of the user ID and the password received together with the given processing request, and the authentication terminal identification information received together with the processing request. A fourth condition relating to the validity and a third condition relating to the validity of the information of the image code for authentication received together with the processing request are determined, and the first condition, the fourth condition, and the third condition are determined. If the condition is satisfied, it is determined that the processing requirement is satisfied, and the authentication processing means for permitting the given processing request.
第2の端末が送信する認証用の画像コードの情報、及び認証サーバが第3の条件を判定する際の画像コードの情報は、画像コードの画像データそのものでもよいし、画像コードに含まれる認証情報又はその一部でもよい。 The information on the image code for authentication transmitted by the second terminal and the information on the image code when the authentication server determines the third condition may be the image data itself of the image code or the authentication included in the image code. It may be information or a part thereof.
認証情報を画像コードとして表示させるための画像コード情報は、画像コードの画像情報そのものでもよいし、画像コードを第1の端末に表示させるための情報(例えば認証情報と画像コード生成コマンド等)でもよい。 The image code information for displaying the authentication information as the image code may be the image information itself of the image code, or the information for displaying the image code on the first terminal (for example, the authentication information and the image code generation command). Good.
第2の端末とその認証用端末識別情報の登録を行ったユーザの紐づけを行わない場合には、前記認証用端末識別情報は、ユーザIDと関連付けずに認証データベースに登録してもよい。また第2の端末とその認証用端末識別情報の登録を行ったユーザの紐づけを行う場合には、前記第2の端末から受信した前記認証用端末識別情報を、ユーザIDと関連付けて認証データベースに登録してもよい。 When the second terminal is not associated with the user who has registered the authentication terminal identification information, the authentication terminal identification information may be registered in the authentication database without being associated with the user ID. Further, when associating the second terminal with the user who has registered the authentication terminal identification information, the authentication terminal identification information received from the second terminal is associated with a user ID and stored in an authentication database. May be registered.
ユーザIDとパスワードの正当性は、予め認証データベースに登録されているユーザIDとパスワードと一致するか否かで判断してもよい。 The validity of the user ID and the password may be determined based on whether the user ID and the password registered in the authentication database match with each other.
認証情報には、例えば認証用の鍵情報やユーザ特定情報や電子認証情報等を含んでも良い。またユーザID、第2の端末からアクセスを許可するドメイン名やURLのリスト、電子認証情報作成日時、失効日時を含めてもよい。 The authentication information may include, for example, authentication key information, user identification information, electronic authentication information, and the like. Also, a user ID, a list of domain names and URLs permitted to be accessed from the second terminal, electronic authentication information creation date and time, and invalidation date and time may be included.
前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件は、前記第1の端末の送信元のアドレス情報が、所定のアドレス(例えば所定の組織のネットワークのアドレス)であるか否かで判断してもよい。前記第1の端末の送信元のアドレス情報とは、例えば、組織のネットワークのゲートウェイのIP(Internet Protcol)アドレスである。 The second condition regarding the validity of the address information of the transmission source of the first terminal is that the address information of the transmission source of the first terminal is a predetermined address (for example, a network address of a predetermined organization). It may be determined based on whether or not. The source address information of the first terminal is, for example, an IP (Internet Protocol) address of a gateway of an organization network.
第2の端末の所与の処理要求とは、例えばファイルやメールの閲覧要求等である。前記処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件は、前記第2の端末から受信した認証用端末識別情報が、認証データベースに登録されている認証用端末識別情報と一致するか否かで判断してもよい。 The given processing request of the second terminal is, for example, a file or mail browsing request. The fourth condition regarding the validity of the authentication terminal identification information received together with the processing request is that the authentication terminal identification information received from the second terminal matches the authentication terminal identification information registered in the authentication database. It may be determined based on whether or not to perform.
第2の端末は携帯端末でもよい。第2の端末には、専用のWebブラウザアプリケーションをインストールして、専用のWebブラウザアプリケーションがメールの閲覧制限やダウンロード制限や閲覧後の情報の削除等をおこなうようにしてもよい。また専用のWebブラウザアプリケーションが認証用端末識別情報を生成、保管、及び画像コードのデコード、認証用端末識別情報の登録要求等を行うようにしてもよい。 The second terminal may be a mobile terminal. A dedicated Web browser application may be installed in the second terminal, and the dedicated Web browser application may perform restrictions on browsing and download of mail, deletion of information after browsing, and the like. Alternatively, a dedicated Web browser application may generate and store authentication terminal identification information, decode an image code, and request registration of authentication terminal identification information.
また登録処理手段は、前記第2の端末から前記登録要求を受信すると、前記画像コード送信要求とともに受信したユーザIDが予め記憶された登録条件(認証用端末識別情報の登録を許可するユーザIDの情報や、登録許可を受け付ける期間の情報等)と一致するか否か等の条件を満たしている場合に、登録要件を満たしていると判断してもよい。 Further, upon receiving the registration request from the second terminal, the registration processing means stores the user ID received with the image code transmission request in a pre-stored registration condition (a user ID for permitting registration of the authentication terminal identification information). Information or information on a period during which registration permission is accepted), it may be determined that the registration requirement is satisfied.
また登録処理手段は、前記第2の端末から前記登録要求を受信すると、前記画像コード送信要求とともに受信したユーザIDについて、他の端末や他のサーバに承認要求を行い(例えば管理者端末に承認要求を出す)、承認が許可されることを条件に登録要件を満たしていると判断してもよい。 Further, upon receiving the registration request from the second terminal, the registration processing means issues an approval request to another terminal or another server with respect to the user ID received together with the image code transmission request (for example, an approval to the administrator terminal). Request), and it may be determined that the registration requirements are satisfied on condition that approval is granted.
本発明によれば、端末アドレス情報が保障された第1の端末(例えば組織のネットワークに接続された端末)にアクセスできるユーザしか取得することできない画像コード情報を用いて、第2の端末の認証用端末識別情報を認証サーバに登録することができる。したがって、簡単なユーザインターフェースで、組織外のネットワークからのアクセスを許可する特定された端末の正当性を確保することができるので、クラウドコンピューティング
におけるユーザの利便性が高くセキュリティが高い認証を行うことが可能となる。
According to the present invention, authentication of a second terminal is performed using image code information that can be obtained only by a user who can access a first terminal (for example, a terminal connected to an organization network) in which terminal address information is guaranteed. Terminal identification information can be registered in the authentication server. Therefore, with a simple user interface, it is possible to ensure the legitimacy of the specified terminal that is permitted to access from the network outside the organization, and to perform user-friendly and highly secure authentication in cloud computing. Becomes possible.
(2)また、本発明の認証サーバ、認証システム及びプログラムにおいて、
前記画像コード情報送信処理手段は、
前記画像コード送信要求に対応して第1の鍵情報を含む認証情報を生成し、認証情報に基づき前記画像コード情報を生成するとともに、前記第1の鍵情報を送信済み第1の鍵情報として記憶部に保管し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
(2) In the authentication server, the authentication system and the program of the present invention,
The image code information transmission processing means,
Generating authentication information including first key information in response to the image code transmission request, generating the image code information based on the authentication information, and using the first key information as transmitted first key information. Store in storage,
The registration processing means,
It is determined whether or not the first key information included in the information of the authentication image code received with the registration request matches the transmitted first key information. Determining that the third condition is satisfied,
The authentication processing means,
It is determined whether or not the first key information included in the information of the authentication image code received with the given processing request matches the transmitted first key information. The condition may be determined to satisfy the third condition.
第1の鍵とは共通鍵暗号方式で用いる共通鍵でもよい。 The first key may be a common key used in a common key cryptosystem.
また前記認証サーバは、画像コード送信要求毎に異なる第1の鍵を生成してもよい。 The authentication server may generate a different first key for each image code transmission request.
また認証サーバは、送信した第1の鍵を画像コード送信要求を行ったユーザIDと関連付けて保管し、同じユーザIDで登録要求が行われた場合に、認証用端末識別情報を登録するようにしてもよい。 Also, the authentication server stores the transmitted first key in association with the user ID that made the image code transmission request, and registers the authentication terminal identification information when the registration request is made with the same user ID. You may.
また認証サーバは、1つの画像コードに対応して登録可能な認証用端末識別情報を1つに限定してもよい。この場合、第1の鍵について最先に登録要求を行った認証用端末識別情報を登録するようにしてもよい。 The authentication server may limit the number of authentication terminal identification information that can be registered in correspondence with one image code to one. In this case, the authentication terminal identification information for which the registration request was issued first for the first key may be registered.
また認証サーバは1つの画像コードに対応して複数の認証用端末識別情報を登録できるようにしてもよい。 The authentication server may be configured to register a plurality of authentication terminal identification information corresponding to one image code.
このようにすると認証サーバが生成した第1の鍵情報に対応した認証情報を含む画像コードを取得したユーザのうち、第2の端末の認証用端末識別情報の登録を行うことができるユーザを制限したり、登録できる端末数を制限したりすることができる。 With this configuration, of the users who have acquired the image code including the authentication information corresponding to the first key information generated by the authentication server, the users who can register the terminal identification information for authentication of the second terminal are restricted. And the number of terminals that can be registered can be limited.
(3)また、本発明の認証サーバ、認証システム及びプログラムにおいて、
前記画像コード情報送信処理手段は、
前記画像コード送信要求とともに受信したユーザIDに対応したユーザ特定情報を含む認証情報を生成し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
(3) In the authentication server, the authentication system and the program of the present invention,
The image code information transmission processing means,
Generating authentication information including user identification information corresponding to the user ID received with the image code transmission request;
The registration processing means,
It is determined whether or not the user identification information included in the authentication image code information received together with the registration request corresponds to the received user ID. Is determined to meet the conditions of
The authentication processing means,
It is determined whether or not the user identification information included in the information of the authentication image code received together with the given processing request corresponds to the received user ID. It may be determined that the third condition is satisfied.
このようにすると、第1の端末でログインを行ったユーザに対して当該ユーザ特定情報が指定された画像コードが送信され、当該ユーザが当該画像コードを用いて登録要求を行
った場合のみ第2の端末の認証用端末識別情報の登録を受け付けることができる。したがって、他人の画像コードを取得しても登録は受け付けられないので、第2の端末の登録を行うユーザを厳密に管理することができ、認証用端末識別情報の登録のセキュリティを強化することができる。
With this configuration, the image code in which the user identification information is specified is transmitted to the user who has logged in at the first terminal, and the second code is transmitted only when the user makes a registration request using the image code. Registration of the terminal identification information for authentication of the terminal can be accepted. Therefore, since registration is not accepted even if an image code of another person is acquired, the user who registers the second terminal can be strictly managed, and the security of registration of the authentication terminal identification information can be enhanced. it can.
(4)また、本発明の認証サーバ、認証システム及びプログラムにおいて、
前記画像コード情報送信処理手段は、
前記認証サーバに対応付けられた第2の鍵に基づく電子認証情報を含む認証情報を生成し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
(4) In the authentication server, the authentication system and the program of the present invention,
The image code information transmission processing means,
Generating authentication information including electronic authentication information based on a second key associated with the authentication server;
The registration processing means,
It is determined whether the electronic authentication information based on the second key included in the authentication image code information received with the registration request corresponds to the second key associated with the authentication server. It is determined that the third condition is satisfied, provided that they correspond to each other.
The authentication processing means,
Whether the electronic authentication information based on the second key included in the information of the authentication image code received together with the given processing request corresponds to the second key associated with the authentication server And it may be determined that the third condition is satisfied, provided that it is a corresponding one.
前記画像コード情報送信処理手段は、
前記認証サーバに対応付けられた第2の鍵(公開鍵暗号方式の秘密鍵)を用いて電子認証情報を作成してもよい。電子認証情報には、ユーザID、第2の端末からアクセスを許可するドメイン名やURLのリスト、電子認証情報作成日時、失効日時を含めてもよい。
The image code information transmission processing means,
Electronic authentication information may be created using a second key (a secret key of a public key cryptosystem) associated with the authentication server. The electronic authentication information may include a user ID, a list of domain names and URLs permitted to be accessed from the second terminal, electronic authentication information creation date and time, and expiration date and time.
第2の鍵に基づく電子認証情報を含む認証情報に基づき作成した画像コード情報が偽造された場合は、偽造されていることを検知することができるため、偽造が困難である。従って、端末アドレス情報が保障された第1の端末から画像コードを取得する以外の方法で認証情報や画像コード情報を取得することは困難であり、認証用端末識別情報の登録のセキュリティを強化することができる。 When the image code information created based on the authentication information including the electronic authentication information based on the second key is forged, it is difficult to forge because it is possible to detect the forgery. Therefore, it is difficult to obtain the authentication information and the image code information by a method other than obtaining the image code from the first terminal whose terminal address information is guaranteed, and the security of the registration of the authentication terminal identification information is enhanced. be able to.
以下、本実施形態について説明する。なお、以下に説明する本実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また本実施形態で説明される構成の全てが、本発明の必須構成要件であるとは限らない。 Hereinafter, the present embodiment will be described. The present embodiment described below does not unduly limit the contents of the present invention described in the claims. Further, all of the configurations described in the present embodiment are not necessarily essential components of the invention.
1. 第1の実施形態
1−1. ネットワーク
図1は、第1の実施形態のネットワーク図の一例である。第1の本実施形態の認証サーバ10(IDプロバイダ)は、ユーザの端末20から送信される情報(データ)に基づいて、ユーザの認証を行う。
1. First embodiment 1-1. 1. Network FIG. 1 is an example of a network diagram according to the first embodiment. The authentication server 10 (ID provider) of the first embodiment authenticates a user based on information (data) transmitted from the
認証サーバ10は、ネットワークを介して、複数の端末20と接続される。例えば、第1の実施形態の認証サーバ10は、インターネットを介して、会社や学校などの小規模ネットワーク30を構成する各端末20−A〜20−Eと接続されている。また、認証サーバ10は、インターネットを介して、userAの自宅41の端末20−F、userBが会社から持ち帰った端末20−B、userCの自宅43の端末20−G、userDの携帯用の端末20−H(例えば、スマートフォン)と接続可能である。なお、第1の実施形態の端末20は有線又は無線によって認証サーバ10と接続される。
The
また、認証サーバ10は、ユーザID、パスワード等の情報が格納された認証データベース11とネットワーク(イントラネット又はインターネット)を介して接続されている。認証サーバ10は、認証データベース11に登録されているデータを参照する処理を行う。また、認証サーバ10は、認証データベース11に対して新たなデータの登録や、データの削除、データの変更の命令を行うことができる。
The
また、認証サーバ10は、ネットワークを介してメールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34などの種々のサーバ(サービス提供サーバ)と接続されている。例えば、メールサーバ31は、認証サーバ10が認証を許可したユーザIDに関するメールサービスの提供を行う。また、ファイルサーバ32は、認証サーバ10が認証を許可したユーザIDに関するファイルサービスの提供を行う。また、ショッピングサーバ33は、認証サーバ10が認証を許可したユーザIDに関するショッピングサービスの提供を行う。また、写真サーバ34は、認証サーバ10が認証を許可したユーザIDに関する写真サービスの提供を行う。つまり、ユーザは、1つのユーザIDとパスワード等を覚えるだけで、認証サーバ10への認証が許可されると種々のサーバ31〜34からサービスの提供を受けることができるシングルサインオンが可能となる。なお、認証サーバ10と各種サーバ31〜34と認証の許可又は不許可等のデータを送信する場合には、SSL/TLSなどを用いてデータの暗号化を行うようにしてもよい。
The
1−2. 構成
図2は、第1の実施形態のネットワークシステムの機能ブロック図の一例である。なお、第1の実施形態のネットワークシステムは、図2の各部を全て含む必要はなく、その一部を省略した構成としてもよい。
1-2. Configuration FIG. 2 is an example of a functional block diagram of the network system according to the first embodiment. The network system according to the first embodiment does not need to include all of the units illustrated in FIG. 2 and may have a configuration in which some of the units are omitted.
まず、認証サーバ10の機能について説明する。記憶部170は、処理部100などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
First, the function of the
また、情報記憶媒体180は、コンピュータにより読み取り可能であり、この情報記憶媒体180にはプログラムやデータなどが格納されている。即ち、情報記憶媒体180には、第1の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処
理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部100は、この情報記憶媒体180に格納されるプログラム(データ)から読み出されたデータに基づいて第1の実施形態の種々の処理を行うことができる。
The
例えば、情報記憶媒体180は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
For example, the
処理部100は、記憶部170に格納されるプログラム(データ)に基づいて第1の実施形態の種々の処理を行う。なお、第1の実施形態の処理部100が、情報記憶媒体180に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部170に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
The
処理部100(プロセッサ)は、記憶部170内の主記憶部をワーク領域として各種処理を行う。処理部100の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
The processing unit 100 (processor) performs various processes using the main storage unit in the
処理部100は、通信制御部111、判断部112、グループ判定部113、認証判定部114を含む。
The
通信制御部111は、ネットワーク(イントラネット又はインターネット)を介して端末20とデータを送受信する処理を行う。
The
例えば、通信制御部111は、端末20によって送信されるユーザID、パスワードを受信する処理を行う。また、通信制御部111は、認証の許可又は不許可を端末20に送信するようにしてもよい。
For example, the
また、通信制御部111は、認証データベース11や、メールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34の各種サーバとネットワーク(イントラネット又はインターネット)を介してデータを送受信する処理を行う。例えば、通信制御部111は、認証の許可又は不許可を各種サーバ31〜34に送信するようにしてもよい。
In addition, the
特に、第1の実施形態の通信制御部111は、端末20が第2のグループに属するユーザIDの端末20である場合には、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合に、第2のグループに属するユーザIDの端末20に、証明情報を送信する処理を行う。
In particular, when the terminal 20 is the terminal 20 having the user ID belonging to the second group, the
判断部112は、認証のための判断を行う。特に、第1の実施形態の判断部112は、第1の判断部112A、第2の判断部112B、第3の判断部112Cを含む。
The
第1の判断部112Aは、端末20から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する。
The
第2の判断部112Bは、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する。
The second determination unit 112B determines whether or not the address information of the transmission source of the terminal 20 satisfies the second condition that the second condition is that the address information matches the address information registered in the
第3の判断部112Cは、端末20から受信した証明情報が、予め認証データベース1
1に登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する。
The third determining
It is determined whether or not the third condition is that the third condition is to match the certification information registered in No. 1.
グループ判定部113は、ユーザIDのグループを判定する。第1の実施形態では、2以上の複数のグループ(例えば、第1、第2のグループ)のうち、ユーザIDがいずれのグループに属するかを、認証データベース11に登録されているユーザ情報を参照して判定する。
The
認証判定部114は、ユーザIDの認証の許可又は不許可を判定する。そして、認証判定部114は、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合に、第1のグループに属するユーザIDの認証を許可し、第1の判断部112Aの第1の条件及び第2の判断部112Bの第2の条件を満たす場合、又は、第1の判断部112Aの第1の条件及び第3の判断部112Cの第3の条件を満たす場合に、第2のグループに属するユーザIDの認証を許可する。
The
認証サーバ10は、認証データベース11を含む。認証データベース11には、ユーザID、パスワード、アドレス情報、証明情報などの情報が登録(格納、記憶)される。第1の実施形態では、管理者からの入力情報に基づいて、予め情報を認証データベース11に登録してもよい。また、管理者からの入力情報に基づいて、情報の更新処理、情報の削除処理を行うようにしてもよい。また、第1の実施形態では、認証サーバ10が、登録処理を行ってもよい。例えば、認証サーバ10は、端末20からの登録要求に基づいてユーザID、パスワード等を登録してもよい。また、第1の実施形態では、認証サーバ10が、更新処理を行ってもよい。例えば、認証サーバ10は、端末20からの更新要求に基づいてユーザID、パスワード等を更新してもよい。また、第1の実施形態では、認証サーバ10が削除処理を行ってもよい。例えば、認証サーバ10は、端末20からの削除要求に基づいてユーザID、パスワード等を削除してもよい。なお、第1の実施形態では認証データベース11の記憶部(記憶領域)が認証サーバ10の記憶部170(記憶領域)から物理的に分離されているが、認証サーバ10の記憶部170に、認証データベース11のデータを記憶させるようにしてもよい。
The
また、第1の実施形態の処理部100は、Webサーバとして機能するWeb処理部を含んでいてもよい。例えば、Web処理部は、HTTP(Hypertext Transfer Protocol)を通じて、端末20にインストールされているWebブラウザ210の要求に応じてデータを送信する処理、端末20のWebブラウザ210によって送信されるデータを受信する処理を行う。特に、第1の実施形態では、Web処理部が、ユーザ認証を行うためのログイン画面を提供し、端末20のWebブラウザ210によって送信されたユーザID、パスワード等のユーザ情報を受信する処理を行うようにしてもよい。
Further, the
端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。 The terminal 20 is a computer, a smartphone, a tablet computer, a mobile phone, a game machine, or the like.
記憶部270は、処理部200などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
The
また、情報記憶媒体280は、コンピュータにより読み取り可能であり、この情報記憶媒体280にはプログラムやデータなどが格納されている。即ち、情報記憶媒体280には、第1の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部200は、この情報記憶媒体280に格納されるプログラム(データ)から読み出されたデータ
に基づいて第1の実施形態の種々の処理を行うことができる。
The
例えば、情報記憶媒体280は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
For example, the
処理部200は、記憶部270に格納されるプログラム(データ)に基づいて第1の実施形態の種々の処理を行う。なお、第1の実施形態の処理部200が、情報記憶媒体280に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部270に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
The
処理部200(プロセッサ)は、記憶部270内の主記憶部をワーク領域として各種処理を行う。処理部200の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
The processing unit 200 (processor) performs various processes using the main storage unit in the
処理部200は、Webブラウザ210、通信制御部211を含む。端末20は、Webブラウザ210によって、インターネットを介してURL(Uniform Resource Locator)によって指定されたWebサーバからの情報を表示させることができる。例えば、端末20は、認証サーバ10において認証が許可されると、Webサーバ機能を備えたメールサーバ31からの端末20のユーザIDのメール情報(ユーザの受信メール、送信されたメール等)を表示させることができる。また、第1の実施形態のWebブラウザ210は、ファイルのダウンロードが禁止されているWebブラウザであってもよい。
The
通信制御部211は、ネットワークを介して認証サーバ10、各種サーバ31〜34等とデータを送受信する処理を行う。例えば、通信制御部211は、入力部220から入力されたユーザIDとパスワードとを、認証サーバ10に送信する処理を行う。また、通信制御部211は、Webブラウザ210に予め証明情報が設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。また、通信制御部211は、認証判定の結果(許可又は不許可)を認証サーバ10から受信するようにしてもよい。また、通信制御部211は、認証サーバ10によって認証が許可された場合に、メールサーバ31から当該端末20のユーザIDに関するメール情報を受信するようにしてもよい。
The
入力部220は、ユーザ(操作者)からの入力情報を入力するための入力機器(コントローラ)であり、ユーザの入力情報を処理部200に出力する。第1の実施形態の入力部220は、ユーザの入力情報(入力信号)を検出する検出部を備えていてもよい。例えば、入力部220は、キーボードの入力情報を検出し、タッチパネル型ディスプレイの接触位置(タッチ位置)を検出する。
The
また、入力部220は、3軸の加速度を検出する加速度センサや、角速度を検出するジャイロセンサ、撮像部を備えた入力機器でもよい。また入力部220は、入力機器と一体化されている端末20(スマートフォン、携帯電話、携帯端末、携帯型ゲーム装置)なども含まれる。
The
表示部290は、Webブラウザの情報、画像を出力するものであり、その機能は、CRT、LCD、タッチパネル型ディスプレイ、あるいはHMD(ヘッドマウントディスプレイ)などにより実現できる。
The
1−3. 第1の実施形態の処理の手法
1−3−1. 概要
第1の実施形態の認証サーバ10は、組織内の複数のユーザについてグループ分けを行い、各グループに応じた認証を行う手法を採用する。つまり、認証サーバ10は、端末のユーザIDのグループを判定し、ユーザIDの属するグループに基づいてユーザIDの認証の許可又は不許可を判定する手法を採用する。
1-3. Processing method of first embodiment 1-3-1. 1. Overview The
例えば、認証サーバ10は、(1)端末から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致することを第1の条件とする当該第1の条件を満たすか否かを判断する第1の判断と、(2)端末の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報(例えば、会社のネットワークのゲートウェイのIPアドレス)と一致することを第2の条件とする当該第2の条件を満たすか否かを判断する第2の判断と、(3)端末から受信した証明情報が、予め認証データベース11に登録されている証明情報と一致することを第3の条件とする当該第3の条件を満たすか否かを判断する第3の判断を行う。そして、認証サーバ10は、第1の条件及び第2の条件を満たす場合に、第1のグループに属するユーザID(例えば、開発部のグループのユーザID)の認証を許可し、第1の条件及び第2の条件を満たす場合、又は、第1の条件及び第3の条件を満たす場合に、第2のグループに属するユーザID(例えば、営業部のグループのユーザID)の認証を許可する。
For example, the authentication server 10 (1) sets the first condition that the first condition is that the user ID and the password received from the terminal match the user ID and the password registered in the
このようにすれば、第1のグループに属するユーザIDと、第2のグループに属するユーザIDで異なった方法・フローで認証を判定するので、利便性とセキュリティを高めつつ、グループに応じた適切な認証を行うことができる。つまり、会社のネットワークのゲートウェイのIPアドレスが認証データベース11に予め登録されている場合には、第1のグループ(例えば開発グループ)に属するユーザIDについては、社内のネットワークからのアクセスに制限することによって、セキュリティを高めることができる。また、第2のグループ(例えば営業グループ)に属するユーザIDについては、社内のネットワークからのアクセスも可能であるし、社外のネットワークからのアクセスであった場合であっても、証明情報の一致を条件に認証を許可する。このように、第1の実施形態では、第2のグループのユーザに対して、セキュリティを高めつつ社外のネットワークからでもアクセス可能なように利便性を高めるようにしている。
According to this configuration, the authentication is determined by a different method and flow based on the user ID belonging to the first group and the user ID belonging to the second group. Authentication can be performed. That is, when the IP address of the gateway of the company network is registered in the
1−3−2. 認証データベース
1−3−2−1.ユーザ情報
図3(A)は、認証データベース11に登録されているユーザ情報の一例である。ユーザ情報は、ユーザID(ユーザ識別情報、ユーザ名)、パスワード、ユーザが属するグループID(グループ識別情報)を含む。また、ユーザ情報には、OTP(OTPはワンタイムパスワードの略)のseed番号(種番号)、証明情報を含んでいてもよい。OTPのseed番号、証明情報が登録されていない場合には、NULLが設定される。また、パスワード、グループID、OTPのseed番号、証明情報は、ユーザIDに対応付けられて登録される。なお、第1の実施形態の証明情報は、1ユーザあたり1つの識別された情報(アルファベットや数字からなる文字列)とし、ユーザ毎に異なる証明情報が付与される。なお、図3(A)は、組織IDが1の○○会社のユーザ情報である。第1の実施形態では、組織毎にユーザ情報を管理する。
1-3-2. Authentication database 1-3-2-1. FIG. 3A is an example of user information registered in the
1−3−2−2. 組織情報
図3(B)は、認証データベース11に登録されている組織情報の一例である。例えば、組織情報は、組織ID(組織識別情報)、組織名、その組織のネットワークのIPアドレス(ネットワークのゲートウェイのIPアドレス)を含む。つまり、組織IDに対応づけて、組織名、組織のネットワークのIPアドレスが登録される。
1-3-2-2. Organization Information FIG. 3B is an example of organization information registered in the
1−3−2−3. フローパターン(処理パターン)
図3(C)は、認証データベース11に登録されている各種フローパターン(処理パターン、処理類型)の一例である。例えば、図3(C)に示すように、グループIDに対応づけて、アクセス成功・失敗フロー、OTP確認フロー(ワンタイムパスワード確認フロー)、証明情報確認フロー、証明情報付与フローそれぞれのパターン(類型)が登録される。
1-3-2-3. Flow pattern (processing pattern)
FIG. 3C is an example of various flow patterns (processing patterns, processing types) registered in the
1−3−2−3−1. アクセス成功・失敗フロー
まず、アクセス成功・失敗フローについて説明する。アクセス成功・失敗フローとは、ユーザの端末20から認証サーバ10へのアクセスの成功又は失敗を判定するための処理の流れである。
1-3-2-3-1. Access Success / Failure Flow First, an access success / failure flow will be described. The access success / failure flow is a process flow for determining success or failure of access from the
図4(A)は、アクセス成功・失敗フローのAパターンである。Aパターンについて説明すると、まず、組織のネットワークからのアクセスか否かを判断する(ステップS1)。つまり、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。例えば、認証サーバ10は、端末20から受信したパケット情報から、端末20の送信元(アクセス元)のIPアドレスを検出し、端末の送信元のIPアドレスが、認証データベースに登録されているIPアドレスと一致するか否かを判断する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図3(B)に示すように、端末20−Aの送信元のIPアドレスが認証データベース11に登録されているので、「○○会社」のネットワークからのアクセスであると判定できる。つまり、組織(○○会社)のネットワークからのアクセスであると判定される。
FIG. 4A shows an A pattern of an access success / failure flow. Describing the pattern A, first, it is determined whether or not the access is from an organization network (step S1). That is, the
そして、組織のネットワークからのアクセスである場合(ステップS1のY)、成功と判定し(ステップS2)、一方、組織のネットワークからのアクセスでない場合(ステップS1のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、失敗と判定する(ステップS3)。図3(C)の例によれば、開発部、営業部、管理部のグループはパターンAのフローでアクセス成功・失敗を判定する。 Then, if the access is from the organization network (Y in step S1), it is determined that the access is successful (step S2), whereas if the access is not from the organization network (N in step S1), that is, outside the organization (for example, If the access is from a network outside the company "company XX"), it is determined to have failed (step S3). According to the example of FIG. 3C, the group of the development department, the sales department, and the management department determines access success / failure in the flow of the pattern A.
図4(B)は、アクセス成功・失敗フローのBパターンの条件式である。Bパターンについて説明すると、まず、組織のネットワークからのアクセスか否かを判断する(ステップS5)。そして、組織のネットワークからのアクセスである場合(ステップS5のY)、現在時刻が所定時間帯(例えば、午前9時から午後6時まで)であるか否かを判断する(ステップS6)。現在時刻が所定時間帯である場合には(ステップS6のY)、成功と判定する(ステップS7)。一方、組織のネットワークからのアクセスでない場合(ステップS5のN)、或いは、現在時刻が所定時間帯でない場合には(ステップS6のN)、失敗と判定する(ステップS8)。図3(C)の例によれば、アルバイトのグループはパターンBのフローでアクセス成功・失敗を判定する。なお、第1の実施形態では、アクセス成功・失敗フローの他のパターンを用意しておいてもよい。例えば、端末の送信元のIPアドレスのドメイン名が特定の文字列(例えば、「jp」)を含む場合には、成功と判定し、端末の送信元のIPアドレスのドメイン名が特定の文字列を含まない場合には、失敗と判定するフローをCパターンとして用意しておいてもよい。 FIG. 4B is a conditional expression of the B pattern of the access success / failure flow. Describing the pattern B, first, it is determined whether or not the access is from an organization network (step S5). Then, if the access is from the network of the organization (Y in step S5), it is determined whether or not the current time is within a predetermined time zone (for example, from 9:00 am to 6:00 pm) (step S6). If the current time is within the predetermined time zone (Y in step S6), it is determined that the process is successful (step S7). On the other hand, if the access is not from the network of the organization (N in step S5), or if the current time is not within the predetermined time zone (N in step S6), it is determined that the access has failed (step S8). According to the example of FIG. 3C, the part-time job group determines access success / failure in the pattern B flow. In the first embodiment, another pattern of the access success / failure flow may be prepared. For example, if the domain name of the source IP address of the terminal includes a specific character string (for example, “jp”), it is determined that the operation is successful, and the domain name of the IP address of the terminal source is specified by the specific character string. If it is not included, a flow for determining failure may be prepared as a C pattern.
1−3−2−3−2. OTP確認フロー
次に、OTP確認フロー(ワンタイムパスワード確認フロー)について説明する。OTP確認フローとは、ユーザの端末に対して、OTPの確認を必要とするか否かを判定するための処理の流れである。
1-3-2-3-2. OTP Confirmation Flow Next, the OTP confirmation flow (one-time password confirmation flow) will be described. The OTP confirmation flow is a processing flow for determining whether or not the user terminal needs to confirm the OTP.
図5は、AパターンのOTP確認フローである。例えば、組織のネットワークからのア
クセスか否かを判断する(ステップS10)。つまり、上述したように、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。そして、組織のネットワークからのアクセスである場合(ステップS10のY)、不要と判定し(ステップS11)、組織のネットワークからのアクセスでない場合(ステップS10のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、必要と判定する(ステップS12)。図3(C)の例によれば、開発部、管理部、営業部、アルバイトはパターンAのフローでOTPの確認の要・不要を判定する。なお、第1の実施形態では、OTP確認フローの他のパターンを用意しておいてもよい。
FIG. 5 is an OTP confirmation flow of the pattern A. For example, it is determined whether the access is from an organization network (step S10). That is, as described above, the
1−3−2−3−3. 証明情報確認フロー
次に、証明情報確認フローについて説明する。証明情報確認フローとは、ユーザの端末に対して、証明情報の確認を必要とするか否かを判定するための処理の流れである。
1-3-2-3-3. Certification Information Confirmation Flow Next, the certification information confirmation flow will be described. The certification information confirmation flow is a processing flow for determining whether confirmation of certification information is necessary for a user terminal.
第1の実施形態では、Aパターンの証明情報確認フローは、OTP確認フローのAパターンと同様のフローを採用している。また、図3(C)の例によれば、開発部、管理部、営業部、アルバイトはパターンAのフローで証明情報の確認の要・不要を判定する。なお、第1の実施形態では、独自の証明情報確認フローを設定してもよいし、複数種類の証明情報確認フローを設定しておいてもよい。 In the first embodiment, the flow similar to the pattern A of the OTP confirmation flow is adopted as the proof information confirmation flow of the pattern A. Further, according to the example of FIG. 3C, the development department, the management department, the sales department, and the part-time job determine whether the verification of the certification information is necessary or not in the flow of the pattern A. In the first embodiment, a unique certification information confirmation flow may be set, or a plurality of types of certification information confirmation flows may be set.
1−3−2−3−4. 証明情報付与フロー
次に、証明情報付与フローについて説明する。証明情報付与フローとは、ユーザの端末に対して、証明情報を付与するか否かを判定するための処理の流れである。
1-3-2-3-4. Next, the proof information providing flow will be described. The proof information provision flow is a processing flow for determining whether to provide proof information to a user terminal.
図6(A)は、Aパターンの証明情報付与フローである。例えば、組織のネットワークからのアクセスか否かを判断する(ステップS20)。つまり、上述したように、認証サーバ10は、端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致するか否か(第2の判断部112Bの第2の条件を満たすか否か)を判断する。そして、組織のネットワークからのアクセスである場合(ステップS20のY)付与すると判定し(ステップS21)、組織のネットワークからのアクセスでない場合(ステップS20のN)、つまり、組織外(例えば、「○○会社」の社外)のネットワークからのアクセスである場合は、付与しないと判定する(ステップS22)。図3(C)の例によれば、営業部はパターンAの証明情報付与フローで証明情報を付与するか否かを判定する。
FIG. 6A is a flow of providing the proof information of the A pattern. For example, it is determined whether the access is from an organization network (step S20). That is, as described above, the
図6(B)は、Bパターンの証明情報付与フローである。Bパターンは、常に付与しないと判定する(ステップS23)。つまり、組織(例えば、○○会社)内外のネットワークを問わず常に証明情報を付与しないと判定する。図3(C)の例によれば、開発部、管理部、アルバイトは、パターンBのフローで証明情報を付与しないと判定される。このように、社外のネットワークからのアクセスを禁止したいグループに対しては証明情報を付与しないようにすることで、セキュリティを更に向上させることができる。 FIG. 6B is a flow of providing the proof information of the B pattern. It is determined that the B pattern is not always added (step S23). That is, it is determined that the certification information is not always added regardless of the network inside or outside the organization (for example, company XX). According to the example of FIG. 3C, it is determined that the development unit, the management unit, and the part-time job do not add the certification information in the flow of the pattern B. As described above, security is further improved by not providing proof information to a group that wants to prohibit access from an external network.
1−3−2−4. ワンタイムパスワードの説明
第1の実施形態では、社外のネットワークからのアクセスは、詐欺、盗難などのセキュリティ上の問題があるので、社外のネットワークからアクセスする可能性のある特定のグループに属するユーザ(例えば、営業部のユーザ)の端末20に、認証サーバ10とアルゴリズムが同じOTP(ワンタイムパスワード)を生成するOTP生成プログラムをインストールし、ワンタイムパスワードを用いた認証を行っている。
1-3-2-4. Description of One-Time Password In the first embodiment, access from a network outside the company has security problems such as fraud and theft. Therefore, users belonging to a specific group who may access from a network outside the company ( For example, an OTP generation program that generates an OTP (one-time password) having the same algorithm as the
例えば、端末20にインストールされたOTP生成プログラム(或いはOTP生成装置の生成プログラム)と、認証サーバ10にインストールされたOTP生成プログラムとにおいて、アルゴリズム及びseed番号(種番号)は一致しており、その結果、端末側(ユーザに付与したOTP生成装置側)で生成されたOTPと、認証サーバで生成されたOTPが一致していることになる。例えば、ワンタイムパスワード生成プログラムでは、所定周期(30秒毎)に、時刻とseed番号(種番号)とに基づいてワンタイムパスワードを生成する処理を行う。なお、第1の実施形態では、営業部などの特定のグループについて、ワンタイムパスワードの照合処理を含めて認証を行っているが、ワンタイムパスワードの照合処理を行わないように制御してもよい。
For example, the algorithm and the seed number (seed number) of the OTP generation program (or the generation program of the OTP generation device) installed in the terminal 20 and the OTP generation program installed in the
1−3−2−5. 証明情報の説明
また、第1の実施形態では、営業部などの特定のグループに属するユーザの端末20に対して証明情報を付与するようにしている。例えば、認証サーバ10は、端末20が第2のグループ(例えば、営業部のグループ)に属するユーザIDの端末20である場合には、端末20から受信したユーザIDとパスワードとが、予め認証データベース11に登録されているユーザIDとパスワードと一致する場合(第1の判断部112Aの第1の条件を満たす場合)及び端末20の送信元のアドレス情報が、予め認証データベース11に登録されているアドレス情報と一致する場合(第2の判断部112Bの第2の条件を満たす場合)に、当該第2のグループに属するユーザIDの端末に、証明情報を送信する処理を行う。また、端末20は、Webブラウザを用いて、端末20と認証サーバ10との通信を行い、例えば、端末20は、認証サーバ10から証明情報を受信した場合には、当該証明情報をWebブラウザのクッキーとして記憶する処理を行う。「クッキー」とは、HTTPcookieであり、Webブラウザに記憶される情報のことを示す。
1-3-2-5. Description of Certification Information In the first embodiment, certification information is assigned to the
例えば、図1を用いて説明すると、認証データベース11に、「○○会社」のネットワーク30のゲートウェイのIPアドレス(122.200.243.240)が登録されているとする。そして、図1に示すように、例えば、営業部のユーザBが社内にいる際に、社内のネットワークに接続された端末20−Bから認証サーバ10にアクセスし、認証許可されると認証サーバ10から証明情報を受信する。つまり、端末20−BのWebブラウザに、クッキーとして証明情報が記憶される。そして、営業部のユーザBが端末20−Bを持ち帰り、例えば、自宅のネットワークに端末20−Bを接続し、端末20−BがWebブラウザを用いてインターネットを介して認証サーバ10にアクセスすると、入力されたユーザID、パスワード、及び、Webブラウザのクッキーとして設定された証明情報を認証サーバ10に送信する。そして、認証サーバ10は、端末20−Bから受信したユーザID、パスワード、証明情報を認証データベース11に登録されているユーザID、パスワード、証明情報と一致している場合に、認証を許可する。
For example, referring to FIG. 1, it is assumed that the IP address (122.200.243.240) of the gateway of the
このように、第1の実施形態では、営業部のユーザBが使用する端末20−Bが認証サーバ10に認証許可されることを契機として端末20−Bが証明情報を取得できる仕組みを提供している。つまり、第1の実施形態によれば、社内のネットワークから営業グループのユーザIDとしてWebブラウザを用いて認証サーバ10を正常にログインするだけで証明情報を取得できるので利便性を高めることができる。また、認証サーバ10では社内のネットワークからのアクセスに対して証明情報を付与することによってセキュリティを強固なものにすることができる。なお、認証サーバ10は、ユーザの端末に付与する証明情報に有効期限(例えば、証明情報を付与した日から7日間有効とする有効期限)を設定していてもよく、有効期限が切れた証明情報を受信した場合には、当該証明情報を無効として処理してもよい。このようにすれば、更にセキュリティを高めることができる。
As described above, the first embodiment provides a mechanism in which the terminal 20-B can acquire the certification information when the terminal 20-B used by the sales department user B is authenticated by the
1−3−2−6. その他
第1の実施形態では、認証サーバ10が認証データベース11に登録されているユーザ
情報、組織情報、各種フロー等を参照する。また、認証サーバ10は、端末20からの要求に応じて、ユーザ情報、組織情報、各種フローの登録処理、更新処理、削除処理を行うようにしてもよい。また、第1の実施形態では、管理者が認証データベースを管理可能であり、管理者からの入力情報に基づいて、ユーザ情報、組織情報、各種フローの参照、登録、変更、削除等を行うことができる。また、管理者からの入力情報に基づいて、フローの変更、追加、削除等も行うことができる。
1-3-2-6. Others In the first embodiment, the
1−3−3. 処理の流れ
図7(A)(B)は、第1の実施形態の認証サーバ10の処理の流れを示すフローチャートである。まず、認証サーバ10は、端末20からユーザIDとパスワードを受信する(ステップS100)。
1-3-3. Process Flow FIGS. 7A and 7B are flowcharts showing a process flow of the
次に、受信した端末20の送信元のIPアドレスを確認する(ステップS101)。例えば、認証サーバ10は、端末20から受信したパケット情報から、送信元のIPアドレスを検出する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図3(B)に示すように、組織ID=1である「○○会社」のネットワークからのアクセスであると判定できる。一方、端末20−Aの送信元のIPアドレスが認証データベースに登録されていない場合には、会社外(組織外)のネットワークからのアクセス(インターネット上の不特定な端末、不特定なネットワークからのアクセス)であると判定できる。
Next, the source IP address of the received
そして、端末20から受信したユーザIDとパスワードとが正しいか否かを判断する(ステップS102)。つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致するか否かを判断する。
Then, it is determined whether the user ID and the password received from the terminal 20 are correct (step S102). That is, it is determined whether the user ID and the password received from the terminal 20 match the user ID registered in the
端末20から受信したユーザIDとパスワードとが正しい場合、つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致する場合には(ステップS102のY)、ステップS103に進む。一方、端末20から受信したユーザIDとパスワードとが正しくない場合、つまり、端末20から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致しない場合には(ステップS102のN)、認証を不許可と判定する(ステップS113)。
When the user ID and the password received from the terminal 20 are correct, that is, the user ID and the password received from the terminal 20 match the user ID registered in the
次に、受信したユーザIDのグループIDを判定する(ステップS103)。つまり、図3(A)に示すように、認証データベース11に登録されたユーザIDに対応するグループIDを参照してグループIDを判定する。例えば、受信したユーザIDが「userA」である場合は、「userA」のグループIDは「1」となる。
Next, the group ID of the received user ID is determined (step S103). That is, as shown in FIG. 3A, the group ID is determined with reference to the group ID corresponding to the user ID registered in the
次に、グループIDに基づいてアクセスが成功か否かを判断する(ステップS104)。図3(C)に示すように、グループID毎に、アクセス成功・失敗フローのパターンが設定されているので、グループIDに対応するパターンに基づいてアクセス成功又は失敗を判断する。 Next, it is determined whether the access is successful based on the group ID (step S104). As shown in FIG. 3 (C), since an access success / failure flow pattern is set for each group ID, access success or failure is determined based on a pattern corresponding to the group ID.
例えば、図3(A)に示すように「userA」はグループIDが「1」でアクセス成功・失敗フローがAパターンである。したがって、図4(A)に示すように「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合には、アクセス成功と判定される(ステップS2、ステップS104のY)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、アクセス失敗と
判定される(ステップS3、ステップS104のN)。
For example, as shown in FIG. 3A, “userA” has a group ID of “1” and an access success / failure flow is an A pattern. Therefore, when “userA” is an access from a network of an organization (for example, company XX) as shown in FIG. 4A, it is determined that the access is successful (Y in step S2 and step S104). On the other hand, if “userA” is an access from a network other than the network of the organization (for example, company XX), it is determined that the access has failed (N in step S3 and step S104).
また、例えば、図3(A)に示すように「userF」はグループIDが「4」でアクセス成功・失敗フローがBパターンである。したがって、図4(B)に示すように、「userF」が組織(例えば○○会社)のネットワークからのアクセスした場合であって、現在時刻が所定の時間帯内(例えば、午後2時)である場合には、アクセス成功と判定される(ステップS7、ステップS104のY)。一方、「userF」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合や、「userF」が組織(例えば○○会社)のネットワークからアクセスした場合であっても、現在時刻が所定の時間帯以外の時刻(例えば、午後11時)である場合には、アクセス失敗と判定される(ステップS8、ステップS104のN)。 For example, as shown in FIG. 3A, “userF” has a group ID of “4” and an access success / failure flow is a B pattern. Therefore, as shown in FIG. 4B, when “userF” accesses from a network of an organization (for example, company XX), the current time is within a predetermined time zone (for example, 2:00 pm). If there is, the access is determined to be successful (step S7, Y in step S104). On the other hand, even when “userF” is accessed from a network other than the network of the organization (for example, XX company), or when “userF” is accessed from the network of the organization (for example, XX company), the current time is set to the predetermined time. If the time is outside the time zone (for example, 11:00 pm), it is determined that the access has failed (N in step S8 and step S104).
そして、アクセス成功と判定された場合には(ステップS104のY)、ステップS105に進む。一方、アクセス失敗と判定された場合(ステップS104のN)は、グループID=2か否かを判断する(ステップS114)。つまり、グループが特定のグループ(例えば、第2のグループ)であるか否かを判断する。そして、グループID=2である場合には(ステップS114のY)、ステップS105に進み、グループID=2でない場合には(ステップS114のN)、認証を不許可と判定する(ステップS113)。 When it is determined that the access is successful (Y in step S104), the process proceeds to step S105. On the other hand, when it is determined that the access has failed (N in step S104), it is determined whether or not the group ID = 2 (step S114). That is, it is determined whether or not the group is a specific group (for example, the second group). If the group ID is 2 (Y in step S114), the process proceeds to step S105. If the group ID is not 2 (N in step S114), it is determined that the authentication is not permitted (step S113).
次に、ワンタイムパスワード(OTP)を確認するか否かを判断する(ステップS105)。図3(C)に示すように、グループID毎に、OTP確認フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいてOTPを確認するか否かを判断する。 Next, it is determined whether or not to confirm the one-time password (OTP) (step S105). As shown in FIG. 3C, since an OTP confirmation flow pattern is set for each group ID, it is determined whether or not to confirm the OTP based on the flow pattern corresponding to the group ID.
例えば、図3(A)に示すように「userA」はグループIDが「1」でOTP確認フローがAパターンである。したがって、図5に示すように、「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合にはOTPの確認が不要と判断され(ステップS11)、ワンタイムパスワードを確認しない(ステップS105のN)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、OTPの確認が必要と判断され(ステップS12)、ワンタイムパスワードを確認する(ステップS105のY)。 For example, as shown in FIG. 3A, “userA” has a group ID of “1” and the OTP confirmation flow is an A pattern. Therefore, as shown in FIG. 5, when “userA” is an access from the network of the organization (for example, XX company), it is determined that the OTP check is unnecessary (step S11), and the one-time password is not checked (step S11). N in step S105). On the other hand, if "userA" is an access from a network other than the network of the organization (for example, company XX), it is determined that the OTP needs to be confirmed (step S12), and the one-time password is confirmed (Y in step S105). .
そして、ワンタイムパスワードを確認する場合には(ステップS105のY)、ワンタイムパスワードを端末に要求し(ステップS106)、端末から受信したワンタイムパスワードが正しいか否かを判断する(ステップS107)。つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致するか否かを判断する。ワンタイムパスワードが正しい場合、つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致する場合、(ステップS107のY)は、ステップS108に進む。一方、ワンタイムパスワードが正しくない場合、つまり、認証サーバ10で生成されたワンタイムパスワードと端末20から受信したワンタイムパスワードが一致しない場合(ステップS107のN)、認証を不許可と判定する(ステップS113)。
When confirming the one-time password (Y in step S105), the terminal requests the terminal for the one-time password (step S106), and determines whether the one-time password received from the terminal is correct (step S107). . That is, it is determined whether the one-time password generated by the
次に、証明情報を確認するか否かを判断する(ステップS108)。図3(C)に示すように、グループID毎に、証明情報確認フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいて証明情報を確認するか否かを判断する。 Next, it is determined whether to confirm the certification information (step S108). As shown in FIG. 3C, a proof information confirmation flow pattern is set for each group ID, so it is determined whether or not proof information is to be confirmed based on a flow pattern corresponding to the group ID. .
例えば、図3(A)に示すように「userA」はグループIDが「1」で証明情報確認フローがAパターンである。したがって、図5に示すように、「userA」が組織(例えば○○会社)のネットワークからのアクセスである場合には証明情報の確認が不要と
判断され(ステップS11)、証明情報を確認しない(ステップS108のN)。一方、「userA」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、証明情報の確認が必要と判断され(ステップS12)、証明情報を確認する(ステップS108のY)。
For example, as shown in FIG. 3A, “userA” has a group ID of “1” and the proof information confirmation flow is an A pattern. Therefore, as shown in FIG. 5, when “userA” is an access from the network of the organization (for example, company XX), it is determined that the confirmation of the certification information is unnecessary (step S11), and the certification information is not confirmed (step S11). N in step S108). On the other hand, if "userA" is an access from a network other than the network of the organization (for example, company XX), it is determined that the certification information needs to be confirmed (step S12), and the certification information is confirmed (Y in step S108). .
そして、証明情報を確認する場合には(ステップS108のY)、端末から受信した証明情報が正しいか否かを判断する(ステップS109)。つまり、端末20から受信した証明情報が、予め認証データベース11に登録されている当該ユーザIDに対応する証明情報と一致するか否かを判断する。例えば、ユーザIDが「userB」である端末20−Bから送信された証明情報が「rg2b9i4g7px」である場合には、認証データベース11に登録されているユーザID「userB」に対応する証明情報「rg2b9i4g7px」と一致するので証明情報が正しいと判断される。そして、証明情報が正しい場合(ステップS109のY)は、ステップS110に進む。一方、証明情報が正しくない場合(ステップS109のN)、認証を不許可と判定する(ステップS113)。
When confirming the certification information (Y in step S108), it is determined whether the certification information received from the terminal is correct (step S109). That is, it is determined whether the certification information received from the terminal 20 matches the certification information corresponding to the user ID registered in the
次に、証明情報を付与するか否かを判断する(ステップS110)。図3(C)に示すように、グループID毎に、証明情報付与フローのパターンが設定されているので、グループIDに対応するフローのパターンに基づいて証明情報を付与するか否かを判断する。 Next, it is determined whether or not to provide certification information (step S110). As shown in FIG. 3 (C), since a proof information provision flow pattern is set for each group ID, it is determined whether to provide proof information based on a flow pattern corresponding to the group ID. .
例えば、図3(A)に示すように「userB」はグループIDが「2」で証明情報付与フローがAパターンである。したがって、図6(A)に示すように、「userB」が組織(例えば○○会社)のネットワークからのアクセスである場合には証明情報を付与すると判定する(ステップS21、ステップS110のY)。一方、「userB」が組織(例えば○○会社)のネットワーク以外からのアクセスである場合には、証明情報を付与しないと判定する(ステップS22、ステップS110のN)。 For example, as shown in FIG. 3A, “userB” has a group ID of “2” and the proof information provision flow is an A pattern. Therefore, as shown in FIG. 6A, when “userB” is an access from the network of the organization (for example, company XX), it is determined that the certification information is added (Y in step S21 and step S110). On the other hand, if "userB" is an access from a network other than the network of the organization (for example, company XX), it is determined that the certification information is not added (N in step S22 and step S110).
また、例えば、図3(A)に示すように「userA」はグループIDが「1」で証明情報付与フローがBパターンである。したがって、図6(B)に示すように、「userA」が○○会社の社内のネットワークからのアクセスか否かにかかわらず、証明情報を付与しないと判定する(ステップS23、ステップS110のN)。 For example, as shown in FIG. 3A, “userA” has a group ID of “1” and the proof information provision flow is a B pattern. Therefore, as shown in FIG. 6B, it is determined that the certification information is not added irrespective of whether “userA” is accessed from the company network of the company XX (step S23, N in step S110). .
そして、証明情報を付与する場合には(ステップS110のY)、端末20に証明情報を送信する(ステップS111)。そして、ステップS111、又は、ステップS110のNの後、認証を許可と判定する(ステップS112)。以上で処理が終了する。 Then, when the proof information is given (Y in step S110), the proof information is transmitted to the terminal 20 (step S111). Then, after N of step S111 or step S110, it is determined that the authentication is permitted (step S112). Thus, the process ends.
1−3−4. SSLクライアント証明書を利用する例
第1の実施形態の認証サーバ10は、証明情報を要求する端末に対して、証明情報の照合に追加して(又は証明情報の照合の替わりに)、端末から送信されるSSL(Secure Socket Layer)クライアント証明書を用いた認証を行うようにしてもよい。かかる認証を行う場合には、端末20のWebブラウザに予めSSLクライアント証明書が設定される。
1-3-4. Example of Using SSL Client Certificate The
例えば、端末20は認証サーバ10にHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)接続を行い、認証サーバ10は端末20にSSLクライアント証明書を要求する。そして、端末20は、SSLクライアント証明書を認証サーバ10に送信する。そして、認証サーバ10は、署名されたSSLクライアント証明書を解読しクライアント(端末20)の公開鍵を取得する。端末20は、送付メッセージにダイジェストを付加し、端末20の持つ秘密鍵で暗号化する。そして、認証サーバ10は、端末20の公開鍵を使ってメッセージを解読し、解読したメッセージからメッセージ・ダイジェストを作成し、端末20が付加した
メッセージ・ダイジェストと比較する。一致が確認された場合には、信頼できる端末20から改ざんされていないメッセージを受信することになり、認証許可と判定する。
For example, the terminal 20 makes an HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) connection to the
1−3−5. 特別なWebブラウザを利用する例
第1の実施形態では、端末20にファイルのダウンロードが禁止されているWebブラウザ50を設定し、Webブラウザ50に予め証明情報がクッキーとして設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。このようにすれば、ファイルのダウンロードが禁止されている特別なWebブラウザ50を使用するように促すことができる。また、ファイルのダウンロードが禁止されている特別なWebブラウザ50の利用促進を図ることによって、ファイルのダウンロードを防止することができ、更にセキュリティを高めることができる。
1-3-5. Example of Using Special Web Browser In the first embodiment, when a Web browser 50 for which file download is prohibited is set in the terminal 20 and certificate information is set in advance in the Web browser 50 as a cookie, The certification information may be transmitted to the
例えば、図1に示すように、userDの私物の端末20−H(例えば、スマートフォンやパーソナルコンピュータ)に、ファイルのダウンロードが禁止された特別なWebブラウザ50がインストールされているとする。そして、Webブラウザ50に予め証明情報を設定する(Webブラウザのクッキーとして証明情報を設定する)。なお、管理者からの入力に基づき、端末20−HのWebブラウザに証明情報を設定するようにしてもよい。 For example, as shown in FIG. 1, it is assumed that a special Web browser 50 for which file download is prohibited is installed in a personal terminal 20-H (for example, a smartphone or a personal computer) of userD. Then, the certification information is set in the Web browser 50 in advance (the certification information is set as a cookie of the Web browser). Note that the certification information may be set in the Web browser of the terminal 20-H based on the input from the administrator.
すると、userDは、社外のネットワークであっても私物の端末20−Hから、認証サーバ10への認証が許可され、メールサーバ31等のサービス提供サーバへのログインが可能となり、より利便性の高いネットワークシステムを実現できる。また、証明情報は、通常のWebブラウザに設定できずに特殊なWebブラウザ50にのみ設定できるようにすることで、私物の端末20−Hに対してもセキュリティの管理を行うことができる。
Then, the userD is permitted to authenticate to the
1−3−6. その他
第1の実施形態では、ユーザID・パスワード以外の多要素認証の例として、証明情報、OTPの照合、SSLクライアント証明書等を用いた認証を説明したが、他の多要素認証を行うようにしてもよい。
1-3-6. Others In the first embodiment, as an example of the multi-factor authentication other than the user ID and the password, the authentication using the certification information, the OTP collation, the SSL client certificate, and the like have been described. It may be.
また、第1の実施形態では、ユーザID・パスワード判定処理の例として、認証サーバが、予め認証データベースに格納されているパスワードを用いて判定する処理を説明したが、認証データベースにパスワードを格納しないで、他のシステムにユーザID・パスワード判定処理を委任するようにしてもよい。 Further, in the first embodiment, as an example of the user ID / password determination process, the authentication server determines the process using the password stored in the authentication database in advance, but does not store the password in the authentication database. Thus, the user ID / password determination process may be delegated to another system.
2. 第2の実施形態
以下、第2の実施形態について説明する。なお、以下に説明する第2の実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また第2の実施形態で説明される構成の全てが、本発明の必須構成要件であるとは限らない。
2. Second Embodiment Hereinafter, a second embodiment will be described. The second embodiment described below does not unduly limit the contents of the present invention described in the claims. Further, all of the configurations described in the second embodiment are not necessarily essential components of the invention.
2−1. ネットワーク
図8は、第2の実施形態のネットワーク図の一例である。第2の実施形態の認証サーバ10(IDプロバイダ)は、ユーザの端末20から送信される情報(データ)に基づいて、ユーザの認証を行う。
2-1. Network FIG. 8 is an example of a network diagram according to the second embodiment. The authentication server 10 (ID provider) of the second embodiment authenticates a user based on information (data) transmitted from the
認証サーバ10は、ネットワークを介して、複数の端末20と接続される。例えば、第2の実施形態の認証サーバ10は、インターネットを介して、会社や学校などの小規模ネットワーク30を構成する各端末20−A、20−B(第1の端末の一例)と接続されている。また、認証サーバ10は、インターネットを介して、userAの携帯用の端末20−C(第2の端末の一例、例えば、スマートフォン)、userBの携帯用の端末20
−D(第2の端末の一例、例えば、スマートフォン)と接続可能である。なお、第2の実施形態の端末20は有線又は無線によって認証サーバ10と接続される。
The
-D (an example of a second terminal, for example, a smartphone) is connectable. The terminal 20 according to the second embodiment is connected to the
また、認証サーバ10は、ユーザID、パスワード等の情報が格納された認証データベース11とネットワーク(イントラネット又はインターネット)を介して接続されている。認証サーバ10は、認証データベース11に登録されているデータを参照する処理を行う。また、認証サーバ10は、認証データベース11に対して新たなデータの登録や、データの削除、データの変更の命令を行うことができる。
The
また、認証サーバ10は、ネットワークを介してメールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34などの種々のサーバ(サービス提供サーバ)と接続されている。例えば、メールサーバ31は、認証サーバ10が認証を許可したユーザIDに関するメールサービスの提供を行う。また、ファイルサーバ32は、認証サーバ10が認証を許可したユーザIDに関するファイルサービスの提供を行う。また、ショッピングサーバ33は、認証サーバ10が認証を許可したユーザIDに関するショッピングサービスの提供を行う。また、写真サーバ34は、認証サーバ10が認証を許可したユーザIDに関する写真サービスの提供を行う。つまり、ユーザは、1つのユーザIDとパスワード等を覚えるだけで、認証サーバ10への認証が許可されると種々のサーバ31〜34からサービスの提供を受けることができるシングルサインオンが可能となる。なお、認証サーバ10と各種サーバ31〜34と認証の許可又は不許可等のデータを送信する場合には、SSL/TLSなどを用いてデータの暗号化を行うようにしてもよい。
The
2−2. 構成
図9は、第2の実施形態の認証システムの機能ブロック図の一例である。なお、第2の実施形態の認証システムは、図9の各部を全て含む必要はなく、その一部を省略した構成としてもよい。
2-2. Configuration FIG. 9 is an example of a functional block diagram of the authentication system according to the second embodiment. Note that the authentication system according to the second embodiment does not need to include all the units in FIG. 9 and may have a configuration in which some of them are omitted.
まず、認証サーバ10の機能について説明する。記憶部170は、処理部100などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
First, the function of the
また、情報記憶媒体180は、コンピュータにより読み取り可能であり、この情報記憶媒体180にはプログラムやデータなどが格納されている。即ち、情報記憶媒体180には、第2の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部100は、この情報記憶媒体180に格納されるプログラム(データ)から読み出されたデータに基づいて第2の実施形態の種々の処理を行うことができる。
The
例えば、情報記憶媒体180は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
For example, the
処理部100は、記憶部170に格納されるプログラム(データ)に基づいて第2の実施形態の種々の処理を行う。なお、第2の実施形態の処理部100が、情報記憶媒体180に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部170に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
The
処理部100(プロセッサ)は、記憶部170内の主記憶部をワーク領域として各種処理を行う。処理部100の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
The processing unit 100 (processor) performs various processes using the main storage unit in the
処理部100は、通信制御部111、画像コード情報送信処理部116、登録処理部118、認証判定部114を含む。
The
通信制御部111は、ネットワーク(イントラネット又はインターネット)を介して端末20とデータを送受信する処理を行う。
The
例えば、通信制御部111は、端末20によって送信されるユーザID、パスワードを受信する処理を行う。また、通信制御部111は、認証の許可又は不許可を端末20に送信するようにしてもよい。
For example, the
また、通信制御部111は、認証データベース11や、メールサーバ31、ファイルサーバ32、ショッピングサーバ33、写真サーバ34の各種サーバとネットワーク(イントラネット又はインターネット)を介してデータを送受信する処理を行う。例えば、通信制御部111は、認証の許可又は不許可を各種サーバ31〜34に送信するようにしてもよい。
In addition, the
画像コード情報送信処理部116は、第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記第1の端末の送信元のアドレス情報の正当性に関する第2の条件を判断し、前記第1の条件及び前記第2の条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する。
When receiving the image code transmission request from the first terminal, the image code information
また登録処理部118は、第2の端末から認証用端末識別情報の登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件及び前記第3の条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う。
Further, upon receiving the registration request for the terminal identification information for authentication from the second terminal, the
認証判定部114は、前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関する第1の条件、及び前記
処理要求とともに受信した認証用端末識別情報の正当性に関する第4の条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する第3の条件を判断し、前記第1の条件、前記第4の条件、及び前記第3の条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する。
Upon receiving a given processing request from the second terminal, the
また画像コード情報送信処理部116は、前記画像コード送信要求に対応して第1の鍵情報を含む認証情報を生成し、認証情報に基づき前記画像コード情報を生成するとともに、前記第1の鍵情報を送信済み第1の鍵情報として記憶部に保管してもよい。
The image code information
また登録処理部118は、前記登録要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
The
また認証判定部114は、前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
Further, the
また画像コード情報送信処理部116は、前記画像コード送信要求とともに受信したユーザIDに対応したユーザ特定情報を含む認証情報を生成してもよい。
Further, the image code information
また登録処理部118は、 前記登録要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
Further, the
また認証判定部114は、前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
The
また画像コード情報送信処理部116は、認証サーバに対応付けられた第2の鍵に基づく電子認証情報を含む認証情報を生成してもよい。
Further, the image code information
また登録処理部118は、 前記登録要求とともに受信した認証用の画像コードの情報
に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
Further, the
また認証判定部114は、前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記第3の条件を満たしていると判断してもよい。
Further, the
認証判定部114は、端末からの所与の処理要求(例えばファイルやメールの閲覧要求)の許可又は不許可を判定する。まず受信したユーザIDとパスワードとが正当であるか(例えば予め認証データベースに登録されているユーザIDとパスワードと一致するか否か)の第1の条件を判断し、正当であると判断した場合には、送信元のアドレス情報が、所定のアドレスであるか(例えば組織のネットワークのゲートウェイのIPアドレスであるか)の第3の条件、又は所与の処理要求とともに受信した認証用端末識別情報が、前記認証データベースに登録されている認証用端末識別情報と一致するか否かの第4の条件を判断し、第1の条件及び第3の条件を満たしている場合、又は第1の条件及び第4の条件を満たしている場合には、所与の処理要求を許可してもよい。
The
認証判定部114は、所与の処理要求(例えばファイルやメールの閲覧要求)が正統であるか否か判断する。認証判定部114は、受信したユーザIDとパスワードとが正当であるかの第1の条件、及び前記第2の端末から受信した認証用端末識別情報が、前記認証データベースに登録されている認証用端末識別情報と一致するか否かの第4の条件を判断し、第1の条件及び第4の条件を満たしている場合に、所与の処理要求(例えばファイルやメールの閲覧要求)が正統なユーザの正当な端末からのものであると判断し、所与の処理要求を許可してもよい。
The
認証サーバ10は、認証データベース11を含む。認証データベース11には、ユーザID、パスワード、アドレス情報、証明情報、認証用端末識別情報などの情報が登録(格納、記憶)される。第2の実施形態では、管理者からの入力情報に基づいて、予め情報を認証データベース11に登録してもよい。また、管理者からの入力情報に基づいて、情報の更新処理、情報の削除処理を行うようにしてもよい。また、第2の実施形態では、認証サーバ10が、登録処理を行ってもよい。例えば、認証サーバ10は、端末20からの登録要求に基づいてユーザID、パスワード、認証用端末識別情報等を登録してもよい。ま
た、第2の実施形態では、認証サーバ10が、更新処理を行ってもよい。例えば、認証サーバ10は、端末20からの更新要求に基づいてユーザID、パスワード等を更新してもよい。また、第2の実施形態では、認証サーバ10が削除処理を行ってもよい。例えば、認証サーバ10は、端末20からの削除要求に基づいてユーザID、パスワード等を削除してもよい。なお、第2の実施形態では認証データベース11の記憶部(記憶領域)が認証サーバ10の記憶部170(記憶領域)から物理的に分離されているが、認証サーバ10の記憶部170に、認証データベース11のデータを記憶させるようにしてもよい。
The
また、第2の実施形態の処理部100は、Webサーバとして機能するWeb処理部(図示せず)を含んでいてもよい。例えば、Web処理部は、HTTP(Hypertext Transfer Protocol)を通じて、端末20にインストールされているWebブラウザ210の要求に応じてデータを送信する処理、端末20のWebブラウザ210によって送信されるデータを受信する処理を行う。特に、第2の実施形態では、Web処理部が、ユーザ認証を行うためのログイン画面を提供し、端末20のWebブラウザ210によって送信されたユーザID、パスワード等のユーザ情報を受信する処理を行うようにしてもよい。
Further, the
第1の端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。
The
記憶部270は、処理部200などのワーク領域となるもので、その機能はRAM(VRAM)などのハードウェアにより実現できる。
The
また、情報記憶媒体280は、コンピュータにより読み取り可能であり、この情報記憶媒体280にはプログラムやデータなどが格納されている。即ち、情報記憶媒体280には、第2の実施形態の各部としてコンピュータを機能させるためのプログラム(各部の処理をコンピュータに実行させるためのプログラム)が記憶される。つまり、処理部200は、この情報記憶媒体280に格納されるプログラム(データ)から読み出されたデータに基づいて第2の実施形態の種々の処理を行うことができる。
The
例えば、情報記憶媒体280は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)、メモリカード等である。
For example, the
処理部200は、記憶部270に格納されるプログラム(データ)に基づいて第2の実施形態の種々の処理を行う。なお、第2の実施形態の処理部200が、情報記憶媒体280に格納されているプログラムやデータを読み出し、読み出したプログラムやデータを記憶部270に格納し、そのプログラムやデータに基づいて処理を行ってもよい。
The
処理部200(プロセッサ)は、記憶部270内の主記憶部をワーク領域として各種処理を行う。処理部200の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
The processing unit 200 (processor) performs various processes using the main storage unit in the
処理部200は、Webブラウザ210、通信制御部211を含む。端末20は、Webブラウザ210によって、インターネットを介してURL(Uniform Resource Locator)によって指定されたWebサーバからの情報を表示させることができる。例えば、端末20は、認証サーバ10において認証が許可されると、Webサーバ機能を備えたメールサーバ31からの端末20のユーザIDのメール情報(ユーザの受信メール、送信されたメール等)を表示させることができる。
The
通信制御部211は、ネットワークを介して認証サーバ10、各種サーバ31〜34等とデータを送受信する処理を行う。例えば、通信制御部211は、入力部220から入力されたユーザIDとパスワードとを、認証サーバ10に送信する処理を行う。また、通信制御部211は、Webブラウザ210に予め証明情報が設定されている場合に、証明情報を認証サーバ10に送信するようにしてもよい。また、通信制御部211は、認証判定の結果(許可又は不許可)を認証サーバ10から受信するようにしてもよい。また、通信制御部211は、認証サーバ10によって認証が許可された場合に、メールサーバ31から当該端末20のユーザIDに関するメール情報を受信するようにしてもよい。
The
入力部220は、ユーザ(操作者)からの入力情報を入力するための入力機器(コントローラ)であり、ユーザの入力情報を処理部200に出力する。第2の実施形態の入力部220は、ユーザの入力情報(入力信号)を検出する検出部を備えていてもよい。例えば、入力部220は、キーボードの入力情報を検出し、タッチパネル型ディスプレイの接触位置(タッチ位置)を検出する。
The
また、入力部220は、3軸の加速度を検出する加速度センサや、角速度を検出するジャイロセンサ、撮像部を備えた入力機器でもよい。また入力部220は、入力機器と一体化されている端末20(スマートフォン、携帯電話、携帯端末、携帯型ゲーム装置)なども含まれる。
The
表示部290は、Webブラウザの情報、画像を出力するものであり、その機能は、CRT、LCD、タッチパネル型ディスプレイ、あるいはHMD(ヘッドマウントディスプレイ)などにより実現できる。
The
Webブラウザ210、通信制御部211は、受け付けたユーザIDとパスワードとともに前記認証サーバに画像コード送信要求を送信する画像コード送信要求手段として機能する。
The
Webブラウザ210、表示部290は、前記画像コード送信要求に対応して前記認証サーバが送信した画像コード情報を受信して、当該画像コード情報に基づき画像コードを表示部に表示する画像コード表示処理手段として機能する。
The
第2の端末20は、コンピュータ、スマートフォン、タブレット型コンピュータ、携帯電話、ゲーム機などである。第1の端末と同じ構成については同じ番号を付しており、説明を省略する。
The
第2の端末は撮影部250を含み、前記画像コードを撮影する撮影手段として機能する。
The second terminal includes a photographing
また第2の端末には、専用のWebブラウザアプリケーションがインストールされており、通常のWebブラウザとしての機能が制限された専用Webブラウザ210’として機能する。 In addition, a dedicated Web browser application is installed in the second terminal, and functions as a dedicated Web browser 210 'in which the function as a normal Web browser is restricted.
専用Webブラウザ210’は、ファイルのダウンロードが禁止されているWebブラウザであってもよい。またファイル閲覧後にファイルの削除等をおこなってもよい。また閲覧中のファイルの更新、コピー等が禁止されているWebブラウザであってもよい。 The dedicated Web browser 210 'may be a Web browser for which file download is prohibited. After the file is browsed, the file may be deleted. Further, a Web browser in which updating, copying, and the like of a file being browsed may be prohibited.
専用Webブラウザ210’、通信制御部211は、撮影された画像コード又は当該画像コードを解読して取得した認証情報と、自機の認証用端末識別情報と、受け付けたユーザIDとパスワードとともに、前記認証用端末識別情報の登録要求を前記認証サーバに送
信する登録要求手段として機能する。
The
専用Webブラウザ210’は、第2の端末の認証用端末識別情報の生成、保管、及び画像コードのデコード、認証用端末識別情報の登録要求等を行ってもよい。 The dedicated Web browser 210 'may generate and store authentication terminal identification information of the second terminal, decode an image code, and request registration of authentication terminal identification information.
2−3. 第2の実施形態の処理
2−3−1. 処理の概要
第2の実施形態では、ユーザAがスマートフォン(第2の端末の一例)を用いて、種々のサービス提供サーバ(例えば図8の31、32、33、34)にアクセスするためのスマートフォンの認証用端末識別情報を認証サーバに登録する例について説明する。ユーザAは組織のネットワークに接続された第1の端末(例えば図8の20−A)に、ログインして、認証サーバに対し、画像コード送信要求を行う。画像コード送信要求を受信した認証サーバ10は、要求の正当性を判定し、正当であると判定した場合には、認証情報を生成し、認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する。
2-3. Process 2-3-1 of second embodiment. Overview of Process In the second embodiment, a smartphone that allows user A to access various service providing servers (for example, 31, 32, 33, and 34 in FIG. 8) using a smartphone (an example of a second terminal) An example of registering the authentication terminal identification information in the authentication server will be described. The user A logs in to a first terminal (for example, 20-A in FIG. 8) connected to the network of the organization, and makes an image code transmission request to the authentication server. Upon receiving the image code transmission request, the
画像コード情報を受信した第1の端末(例えば図8の20−A)は表示部に画像コード(図8の90)を表示する。ユーザAは、第1の端末の表示部に表示された画像コード(図8の90)を、第2端末(例えば図8の20−C)で撮影して、画像コードを取得する。そして認証用の画像コードの情報と自機の認証用端末識別情報とともに認証サーバに対し認証用端末識別情報の登録要求を送信する。 The first terminal that has received the image code information (for example, 20-A in FIG. 8) displays the image code (90 in FIG. 8) on the display unit. The user A captures the image code (90 in FIG. 8) displayed on the display unit of the first terminal with the second terminal (for example, 20-C in FIG. 8) and acquires the image code. Then, a request for registration of the authentication terminal identification information is transmitted to the authentication server together with the authentication image code information and the authentication terminal identification information of the own device.
登録要求を受信した認証サーバは、登録要求の正当性を判定し、正当であると判定した場合には、第2の端末の認証用端末識別情報を認証サーバに登録する。 The authentication server that has received the registration request determines the validity of the registration request, and if determined to be valid, registers the authentication terminal identification information of the second terminal in the authentication server.
第2の端末の認証用端末識別情報が認証サーバに登録されると、ユーザAは当該第2の端末を用いて種々のサービス提供サーバ(例えば図8の31、32、33、34)にアクセスすることができるようになる。 When the authentication terminal identification information of the second terminal is registered in the authentication server, the user A accesses various service providing servers (for example, 31, 32, 33, and 34 in FIG. 8) using the second terminal. Will be able to
このように組織のネットワークに接続された端末にアクセスできるユーザしか取得することできない画像コード情報を用いて、第2の端末の認証用端末識別情報を認証サーバに登録することができる。したがって、簡単なユーザインターフェースで、組織外のネットワークからのアクセスを許可する特定された端末の正当性を確保することができる。 As described above, the terminal identification information for authentication of the second terminal can be registered in the authentication server using the image code information that can be obtained only by the user who can access the terminal connected to the organization network. Therefore, the legitimacy of the specified terminal permitted to access from a network outside the organization can be secured with a simple user interface.
なお画像コード情報送信要求を行ったユーザと登録要求を行うユーザの同一性を認証用端末識別情報の登録要件とする場合には、ユーザBが、ユーザAに対して送信された画像コードを自分のスマートフォン(例えば図8の端末20−D)で撮影し、認証用端末識別情報の登録要求を送信しても、自機のスマートフォンの認証用端末識別情報の登録は許可されない。 If the identity of the user who has made the image code information transmission request and the user who has made the registration request are to be the registration requirements for the authentication terminal identification information, the user B transmits the image code transmitted to the user A to himself / herself. However, even if an image is captured by a smartphone (for example, the terminal 20-D in FIG. 8) and a registration request for authentication terminal identification information is transmitted, registration of the authentication terminal identification information of the own smartphone is not permitted.
また送信した画像コードに対して1つの認証用端末識別情報の登録を許可する場合には、ユーザAが端末20−Cで画像コードを撮影して登録要求を行い、その後にユーザAが端末20−Dで画像コードを撮影して登録要求をおこなった場合、最先の登録要求にかかる端末20−Cのみの登録を許可するようにしてもよい。 To permit registration of one piece of authentication terminal identification information with respect to the transmitted image code, the user A makes a registration request by photographing the image code with the terminal 20-C, and then the user A When a registration request is made by photographing an image code at -D, registration of only the terminal 20-C corresponding to the earliest registration request may be permitted.
2.3.2 認証データベース
図10(A)は、認証データベース11に登録されているユーザ認証情報の一例である。ユーザ認証情報300は、ユーザID(ユーザ識別情報、ユーザ名)310、パスワード320を含む。また認証用端末識別情報330を含んでいてもよく、認証用端末識別情報330が登録されていない場合には、NULLを設定してもよい。また、パスワード3
20、認証用端末識別情報330は、ユーザID310に対応付けて登録されてもよい。
2.3.2 Authentication Database FIG. 10A is an example of user authentication information registered in the
20, the authentication
なおユーザと認証用端末識別情報330とを紐づけない場合には、認証用端末識別情報をユーザIDに紐づけずに登録してもよい。
When the user and the authentication
図10(B)は、認証データベース11に登録されているアドレス認証情報の一例である。アドレス認証情報350は、組織ID(組織識別情報)360、組織名370、その組織のネットワークのIPアドレス(ネットワークのゲートウェイのIPアドレス)380を含む。つまり、組織IDに対応づけて、組織名、組織のネットワークのIPアドレスが登録されてもよい。
FIG. 10B is an example of the address authentication information registered in the
図11は、認証データベースに記憶されている管理情報の一例である。管理情報400は画像コード情報の送信に関連して、送信した画像コード情報に対応する登録要求の認証の際に必要な情報等を含む。
FIG. 11 is an example of management information stored in the authentication database. The
第1の鍵情報を含む画像コード情報が送信された場合には、管理情報400は、送信済み第1の鍵情報420を含んでもよい。また、画像コードの作成日時の情報430や画像コードの失効日時の情報(画像コードに対応する登録要求の受付期限の情報)440、画像コードを送信したユーザID450、画像コードに対する登録状況460等を画像コード管理番号410に関連付けて記憶させてもよい。なお画像コードの画像情報そのものを記憶してもよい。
When the image code information including the first key information is transmitted, the
2−3−3. 認証システムの処理
図12は、認証システムの処理の一例を示す図である。
2-3-3. Processing of Authentication System FIG. 12 is a diagram illustrating an example of processing of the authentication system.
第2の端末20−2は、例えばスマートフォン等の携帯端末でもよい。第2の端末20−2には、少なくともt9の前までに専用Webブラウザプリケーションがインストールされており、自機の認証用端末識別情報が生成されている。第2の端末20−2は、前記専用Webブラウザを用いて、認証サーバ10との通信を行う。また生成した認証用端末識別情報をWebブラウザのクッキーとして記憶する処理を行ってもよい。「クッキー」とは、HTTPcookieであり、Webブラウザに記憶される情報のことを示す。例えば、第2の端末20−2が専用Webブラウザを用いてインターネットを介して認証サーバ10にアクセスすると、入力されたユーザID、パスワード、及び、Webブラウザのクッキーとして設定された認証用端末識別情報を認証サーバ10に送信する構成でもよい。
The second terminal 20-2 may be a mobile terminal such as a smartphone, for example. The dedicated Web browser application is installed in the second terminal 20-2 at least before t9, and the terminal identification information for authentication of the own terminal is generated. The second terminal 20-2 communicates with the
第2の端末20−2は、認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする場合には専用Webブラウザを使用する。専用Webブラウザでは、通常のWebブラウザとしての機能は制限され、ファイルのダウンロード等が禁止されたり、ファイル閲覧後の情報の削除等が行われたり、閲覧中のファイルの更新、コピー等が禁止されている。 The second terminal 20-2 uses a dedicated Web browser when accessing various service providing servers (for example, 31, 32, 33, and 34 in FIG. 8) managed by the authentication server. In the dedicated Web browser, the function as a normal Web browser is restricted, and downloading of a file or the like, deletion of information after browsing a file, update or copying of a file being browsed, and the like are prohibited. ing.
第1の端末20−1は、例えば所定のIPアドレスを有する端末(図8の端末20−A、20−Bのように所定の組織内のLAN等に接続された端末)である。 The first terminal 20-1 is, for example, a terminal having a predetermined IP address (a terminal connected to a LAN or the like in a predetermined organization like the terminals 20-A and 20-B in FIG. 8).
例えばユーザAが第1の端末20−1から画像コードの送信要求指示入力を行うと、第1の端末20−1は、ログインされたユーザIDとパスワードで認証サーバに対し、登録認証用の画像コード送信要求を送信する(t1)。 For example, when the user A inputs an image code transmission request instruction input from the first terminal 20-1, the first terminal 20-1 sends an image for registration authentication to the authentication server using the logged-in user ID and password. A code transmission request is transmitted (t1).
認証サーバ10は、画像コード送信要求を受信すると、送信元のアドレス情報が、組織
内のネットワークからのアクセスか否かを判定する送信元アドレス判定処理を行う(t2)。認証サーバ10は、端末20−1の送信元のアドレス情報が、認証データベース11に登録されている組織のネットワークのアドレス情報と一致するか否か(第2の条件)を判定してもよい。具体的には、端末20−1から受信したパケット情報から、端末20−1の送信元(アクセス元)のIPアドレスを検出し、送信元のIPアドレスが、認証データベースに登録されているIPアドレスと一致するか否かを判断する。例えば、端末20−Aの送信元のIPアドレスが「122.200.243.240」の場合には、図10(B)に示すように、「○○会社」のネットワークのIPアドレスとして認証データベース11に登録されているので、組織(○○会社)のネットワークからのアクセスであると判定する。
Upon receiving the image code transmission request, the
また、第1の端末20−1から受信したユーザIDとパスワードとが正しいか否か(第1の条件)を判定する(t3)。つまり、端末20−1から受信したユーザIDとパスワードとが、認証データベース11に登録されているユーザIDと(当該ユーザIDに対応する)パスワードと一致するか否かを判定する。
Further, it is determined whether the user ID and the password received from the first terminal 20-1 are correct (first condition) (t3). That is, it is determined whether the user ID and the password received from the terminal 20-1 match the user ID registered in the
第1の条件及び第2の条件を満たすと判定した場合には、認証サーバは、認証情報を生成する。認証情報は、認証用の第1の鍵(例えば画像コード送信要求毎に生成される共通鍵)情報を含んでもよい。また認証情報は、ユーザID等のユーザ特定情報を含んでもよい。また認証情報は、第2の鍵(例えば認証サーバが有している公開鍵暗号方式の秘密鍵)情報に基づく電子認証情報を含んでもよい。また認証情報は、第2の端末からアクセスを許可するドメイン名やURLのリスト、認証情報作成日時、失効日時等を含んでもよい。 When determining that the first condition and the second condition are satisfied, the authentication server generates authentication information. The authentication information may include first key information for authentication (for example, a common key generated for each image code transmission request). The authentication information may include user identification information such as a user ID. Further, the authentication information may include electronic authentication information based on second key (for example, a secret key of a public key cryptosystem included in the authentication server) information. The authentication information may include a list of domain names and URLs permitted to be accessed from the second terminal, the date and time of authentication information creation, the date and time of invalidation, and the like.
認証用の第1の鍵は、画像コード送信要求毎に異なるものを生成してもよい。 A different first key for authentication may be generated for each image code transmission request.
認証情報に基づき、画像コードを生成する(t5)。画像コードとは、QRコード(登録商標)やバーコードでもよいし、その他の2次元コードや3次元コードでもよい。 An image code is generated based on the authentication information (t5). The image code may be a QR code (registered trademark) or a bar code, or may be another two-dimensional code or three-dimensional code.
そして画像コード送信要求元の第1の端末20−1に画像コード情報を送信するとともに(t7)、送信した画像コード情報に関連付けて登録要求の照合の際に必要な情報等を
管理情報400として記憶部に保管する(t6)。なお、画像コード情報は、画像コードの画像情報そのものでもよいし、画像コードを第1の端末に表示させるための情報(例えば認証情報と画像コード生成コマンド等)でもよい。また送信した第1の鍵を画像コード送信要求を行ったユーザIDと関連付けて保管し、同じユーザIDで登録要求が行われた場合に、認証用端末識別情報を登録するようにしてもよい。
Then, the image code information is transmitted to the first terminal 20-1 which has requested the image code transmission (t7), and information necessary for collating the registration request is associated with the transmitted image code information as
画像コード情報を受信した第1の端末20−1は、表示部に画像コードを表示する(t8)。 The first terminal 20-1 that has received the image code information displays the image code on the display unit (t8).
第1の端末20−1は、所定時間経過した後に、自動的に画像コードの表示を終了してもよい。このようにすることで、第3者が画像コードを取得することを防止することができる。 The first terminal 20-1 may automatically terminate the display of the image code after a predetermined time has elapsed. By doing so, it is possible to prevent a third party from acquiring the image code.
ユーザAが、第1の端末20−1の表示部に表示された画像コードを、第2の端末20−2の撮影部で撮影すると、第2の端末20−2は、画像コードを取得する(t9)。 When the user A captures the image code displayed on the display unit of the first terminal 20-1 with the imaging unit of the second terminal 20-2, the second terminal 20-2 acquires the image code. (T9).
そして第2の端末20−2は、ログインされたユーザIDとパスワードで認証サーバに対し、取得した認証用の画像コードの情報(画像コードの画像情報そのものでもよいし画像コードに含まれる認証情報でもよい)と、自機の認証用端末識別情報(専用Webブラウザプリケーションが生成した情報)とともに、認証用端末識別情報の登録要求を送信す
る(t10)。第2の端末20−2は、画像コードの画像情報を認証サーバに送信してもよいし、画像コードをデコードして認証情報を取得し、取得した認証情報、又はその一部の情報を認証サーバに送信してもよい。
Then, the second terminal 20-2 provides the authentication server with the logged-in user ID and password to the acquired authentication image code information (either the image information itself or the authentication information included in the image code). Good), and a registration request for authentication terminal identification information is transmitted together with the authentication terminal identification information of the own device (information generated by the dedicated Web browser application) (t10). The second terminal 20-2 may transmit the image information of the image code to the authentication server, or may obtain the authentication information by decoding the image code, and authenticate the obtained authentication information or a part of the obtained authentication information. It may be sent to the server.
登録要求を受信した認証サーバ10は、第2の端末20−2から受信したユーザIDとパスワードとが正しいか否か(第1の条件)を判断する(t11)。
Upon receiving the registration request, the
次に受信した認証情報又は画像コードの正当性の判断処理(第3の条件)を行う(t12)。例えば画像コードの正当性は、画像コード自体が、認証サーバが送信した画像コードと一致するか否か判断し、一致する場合には正当であると判断してもよい。また画像コードをデコードして認証情報を取得し、取得した認証情報が正当であるか判断してもよい。 例えば認証情報が第1の鍵情報を含む場合には、当該第1の鍵情報が、管理情報として記憶されている第1の鍵情報のいずれかと一致するか否かを判断してもよい。また画像コード送信要求を行ったユーザと、当該画像コード送信要求に対応して送信した画像コードを取得して登録要求を行うユーザが一致していることを要求する場合には、図10(A)に示すように、画像コードをユーザIDに関連付けて記憶しておき、登録要求とともに受信した第1の鍵情報とユーザIDが、管理情報として登録されている第1の鍵と対応するユーザIDと一致する場合に正当であると判断してもよい。 Next, a process (third condition) for determining the validity of the received authentication information or image code is performed (t12). For example, the validity of an image code may be determined by determining whether or not the image code itself matches the image code transmitted by the authentication server. If the image code matches, the image code may be determined to be valid. Alternatively, authentication information may be obtained by decoding an image code, and it may be determined whether the obtained authentication information is valid. For example, when the authentication information includes the first key information, it may be determined whether the first key information matches any one of the first key information stored as the management information. When requesting that the user who has made the image code transmission request and the user who has acquired the image code transmitted in response to the image code transmission request and made the registration request match, FIG. ), The image code is stored in association with the user ID, and the first key information and the user ID received together with the registration request are stored in the user ID corresponding to the first key registered as the management information. If they match, it may be determined to be valid.
また例えば認証情報がユーザ特定情報を含む場合には、当該ユーザ特定情報が、登録要求を行ったユーザIDに対応するものであるか否かを判断してもよい。 Further, for example, when the authentication information includes the user identification information, it may be determined whether or not the user identification information corresponds to the user ID that made the registration request.
また例えば認証情報に第2の鍵(例えば認証サーバが有している公開鍵暗号方式の秘密鍵)情報に基づく電子認証情報を含む場合には、受信した認証用の画像コードの情報(画像コードの画像情報又は画像コードに含まれる認証情報)が第2の鍵に対応するものであるか否かを判断してもよい。このようにすることで、画像コードや認証情報が偽造されたものでなく、第1の端末に表示されたものを撮影することにより取得したものであることを保証することができる。 Further, for example, when the authentication information includes electronic authentication information based on second key (for example, a secret key of a public key cryptosystem included in the authentication server) information, the received authentication image code information (image code It may be determined whether or not the image information or the authentication information included in the image code) corresponds to the second key. By doing so, it is possible to guarantee that the image code and the authentication information are not forged, but are obtained by photographing the one displayed on the first terminal.
また例えば認証情報に、認証情報作成日時、失効日時等を含む場合には、これらに基づき登録要求の受信日時が許可されるか否か判断してもよい。なお認証情報自体には認証情報作成日時、失効日時等を含めないで、管理情報として記憶させてもよい。そして登録要求に対応する管理情報(例えば第1の鍵が一致する管理情報)として記憶されている認証情報作成日時、失効日時等(図11の420、430参照)に基づき登録要求の受信日時が許可されるか否か判断してもよい。このようにすることで、画像コード送信時から所定期間内に行われた登録要求のみを許可したり、再登録を促したりすることができる。 Further, for example, when the authentication information includes the date and time of creation of the authentication information, the date and time of expiration, and the like, it may be determined whether or not the reception date and time of the registration request is permitted based on these. The authentication information itself may be stored as management information without including the authentication information creation date and time and the expiration date and time. Then, based on the authentication information creation date and time, the revocation date and the like (see 420 and 430 in FIG. 11) stored as the management information corresponding to the registration request (for example, the management information with the same first key), the reception date and time of the registration request are changed. It may be determined whether permission is granted. By doing so, it is possible to permit only a registration request made within a predetermined period from the time of transmitting the image code, or to urge re-registration.
そして登録要求が正当であると判断した場合には、登録要求にかかる認証用端末識別情報を認証データベースに登録する(t13)。 If it is determined that the registration request is valid, the authentication terminal identification information relating to the registration request is registered in the authentication database (t13).
なお前記画像コード送信要求とともに受信したユーザIDについて、他の端末や他のサーバに承認要求を行い(例えば管理者端末に承認要求を出す)、承認された場合に登録要求にかかる認証用端末識別情報を認証データベースに登録してもよい。 For the user ID received with the image code transmission request, an approval request is made to another terminal or another server (for example, an approval request is issued to the administrator terminal). The information may be registered in the authentication database.
なお1つの画像コードに対応して登録可能な認証用端末識別情報を1つに限定してもよい。この場合、第1の鍵について最先に登録要求を行った認証用端末識別情報を登録するようにしてもよい。例えば図11に示す登録状況460等で、登録状況を管理し、同じ画像コードについて既に登録が行われている場合には登録しないようにしてもよい。このようにすると、1つの画像コードに対応して登録可能な認証用端末識別情報を1つに限定することができる。
The authentication terminal identification information that can be registered corresponding to one image code may be limited to one. In this case, the authentication terminal identification information for which the registration request was issued first for the first key may be registered. For example, the registration status may be managed by the
また1つの画像コードに対応して複数の認証用端末識別情報を登録できるようにしてもよい。 Also, a plurality of authentication terminal identification information may be registered corresponding to one image code.
また第2の端末20−2から認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする場合には、ログインされたユーザIDとパスワードで認証サーバに対し認証要求を送信する(t14)。このとき自機の認証用端末識別情報及び、画像コードの画像情報又は画像コードをデコードして取得した認証情報、又はその一部の情報を認証サーバに送信してもよい。 When accessing various service providing servers (for example, 31, 32, 33, and 34 in FIG. 8) managed by the authentication server from the second terminal 20-2, the authentication server uses the logged-in user ID and password. The authentication request is transmitted to (t14). At this time, the authentication terminal identification information of the own device, the image information of the image code, the authentication information obtained by decoding the image code, or a part of the information may be transmitted to the authentication server.
認証要求を受信した認証サーバ10は、第2の端末20−2から受信したユーザIDとパスワードとが正しいか否か(第1の条件)を判断する(t15)。
Upon receiving the authentication request, the
次に認証要求とともに受信した第2の端末の認証用端末識別情報の正当性の判断処理(第4の条件)を行う(t16)。 Next, a process (fourth condition) for determining the validity of the terminal identification information for authentication of the second terminal received together with the authentication request is performed (t16).
次に受信した認証情報又は画像コードの正当性の判断処理(第3の条件)を行う(t17)。 Next, a process of determining the validity of the received authentication information or image code (third condition) is performed (t17).
第1の条件、第4の条件、及び第3の条件を満たしていれば正当なアクセスであると判断する。 If the first condition, the fourth condition, and the third condition are satisfied, it is determined that the access is valid.
2−3−4. 認証サーバの処理の流れ
図13は、第2の実施形態の認証サーバの画像コード送信処理の流れを示すフローチャートである。
2-3-4. FIG. 13 is a flowchart illustrating a flow of an image code transmission process of the authentication server according to the second embodiment.
認証サーバは、画像コード送信要求を受信すると以下の処理を行う(ステップS210のY)。組織のネットワークからのアクセスであるか否か判断する。組織のネットワークからのアクセスであるか否かは、例えば画像コード送信要求元のIPアドレス等により判断してもよい。組織のネットワークからのアクセスであると判断した場合には(ステップS220のY)、ユーザIDとパスワードが正当か否か判断する。ユーザIDとパスワードが正当であるかは、認証データベースを参照して、認証データベースに登録されているか否かに基づき判断してもよい。 Upon receiving the image code transmission request, the authentication server performs the following processing (Y in step S210). It is determined whether the access is from the organization's network. Whether or not the access is from the network of the organization may be determined based on, for example, the IP address of the image code transmission request source. When it is determined that the access is from the organization network (Y in step S220), it is determined whether the user ID and the password are valid. Whether the user ID and the password are valid may be determined based on whether or not the user ID and the password are registered in the authentication database with reference to the authentication database.
ユーザIDとパスワードが正当であると判断した場合(ステップS230のY)には、認証情報を生成し(ステップS240)、認証情報に基づき、画像コードを生成する(ステップS250)。 If it is determined that the user ID and the password are valid (Y in step S230), authentication information is generated (step S240), and an image code is generated based on the authentication information (step S250).
そして、認証サーバは、画像コード送信要求元の第1の端末に画像コード情報を送信し(ステップS260)、送信した画像コード情報に対応する管理情報を記憶部に保管する(ステップS270)。 Then, the authentication server transmits the image code information to the first terminal requesting the image code transmission (step S260), and stores the management information corresponding to the transmitted image code information in the storage unit (step S270).
図14は、第2の実施形態の認証サーバの認証用端末識別情報の登録処理の流れを示すフローチャートである。 FIG. 14 is a flowchart illustrating a flow of a process of registering authentication terminal identification information of the authentication server according to the second embodiment.
認証サーバは、認証用端末識別情報の登録要求を受信すると以下の処理を行う(ステップS310のY)。ユーザIDとパスワードが正当か否か判断する。ユーザIDとパスワードが正当であるかは、認証データベースを参照して、認証データベースに登録されているか否かに基づき判断してもよい。 Upon receiving the authentication terminal identification information registration request, the authentication server performs the following processing (Y in step S310). It is determined whether the user ID and the password are valid. Whether the user ID and the password are valid may be determined based on whether or not the user ID and the password are registered in the authentication database with reference to the authentication database.
ユーザIDとパスワードが正当であると判断した場合には(ステップS320のY)、認証用の画像コードの情報が正当であるか否か判断する。認証用の画像コードの情報の正当性は、認証用の画像コードの情報が、認証サーバが送信した認証用の画像コードの情報と一致するか否か判断し、一致する場合には正当であると判断してもよい。 When it is determined that the user ID and the password are valid (Y in step S320), it is determined whether the information of the image code for authentication is valid. The validity of the information on the authentication image code is determined by determining whether the information on the authentication image code matches the information on the authentication image code transmitted by the authentication server. May be determined.
認証用の画像コードの情報が正当であると判断した場合には(ステップS330のY)、認証用端末識別情報を認証データベースに登録する(ステップS340)。 When it is determined that the information of the authentication image code is valid (Y in step S330), the authentication terminal identification information is registered in the authentication database (step S340).
図15は、第2の実施形態の認証サーバの認証処理の流れを示すフローチャートである。 FIG. 15 is a flowchart illustrating the flow of the authentication process of the authentication server according to the second embodiment.
認証サーバは、所与の処理要求を受信すると以下の処理を行う(ステップS410のY)。ユーザIDとパスワードが正当か否か判断する。ユーザIDとパスワードが正当であるかは、認証データベースを参照して、認証データベースに登録されているか否かに基づき判断してもよい。 Upon receiving a given processing request, the authentication server performs the following processing (Y in step S410). It is determined whether the user ID and the password are valid. Whether the user ID and the password are valid may be determined based on whether or not the user ID and the password are registered in the authentication database with reference to the authentication database.
ユーザIDとパスワードが正当であると判断した場合には(ステップS420のY)、組織のネットワークからのアクセスであるか否か判断する。組織のネットワークからのアクセスであるか否かは、所与の処理要求元のIPアドレス等により判断してもよい。組織のネットワークからのアクセスでないと判断した場合には(ステップS430のN)、認証用端末識別情報を受信したか否か判断し、受信した場合には(ステップS440のY)、受信した認証用端末識別情報が、前記認証データベースに登録されている認証用端末識別情報と一致するか否か判断する。一致すると判断した場合には(ステップS450のY)、認証用の画像コードの情報が正当であるか否か判断する。認証用の画像コードの情報が正当であると判断した場合には(ステップS455のY)、所与の処理要求を許可する(ステップS460)。 If it is determined that the user ID and the password are valid (Y in step S420), it is determined whether the access is from an organization network. Whether or not the access is from the organization's network may be determined based on the IP address of a given processing request source. If it is determined that the access is not from the network of the organization (N in step S430), it is determined whether the authentication terminal identification information is received. If it is received (Y in step S440), the received authentication terminal identification information is received. It is determined whether the terminal identification information matches the authentication terminal identification information registered in the authentication database. If it is determined that they match (Y in step S450), it is determined whether the information of the authentication image code is valid. If it is determined that the information of the authentication image code is valid (Y in step S455), a given processing request is permitted (step S460).
2−3−5. 第2の端末
第2の実施形態では、第2の端末20−2にファイルのダウンロードが禁止されている専用Webブラウザ50をインストールしてもよい。専用Webブラウザは、認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする際に使用するWebブラウザである。専用Webブラウザは、閲覧後のファイルの削除や、閲覧中のファイルの文書が象のコピーを禁止する処理を行ってもよい。
2-3-5. Second Terminal In the second embodiment, a dedicated Web browser 50 for which file download is prohibited may be installed in the second terminal 20-2. The dedicated Web browser is a Web browser used when accessing various service providing servers (for example, 31, 32, 33, and 34 in FIG. 8) managed by the authentication server. The dedicated Web browser may perform a process of deleting a file after browsing, or prohibiting copying of an elephant in a document of a file being viewed.
また専用Webブラウザは、インストールされた端末の認証用端末識別情報を生成し、端末内に保管する処理を行ってもよい。またユーザから認証用端末識別情報の登録要求の指示入力を受けた場合に登録要求を生成し、当該端末の認証用端末識別情報として認証サーバに送信する処理を行ってもよい。 Further, the dedicated Web browser may perform a process of generating terminal identification information for authentication of the installed terminal and storing it in the terminal. Further, when an instruction input of a registration request for authentication terminal identification information is received from a user, a process of generating a registration request and transmitting the registration request to the authentication server as authentication terminal identification information of the terminal may be performed.
また認証サーバが管理する種々のサービス提供サーバ(例えば図8の31、32、33、34等)にアクセスする際に、認証サーバに対して認証用端末識別情報とともに認証要求を送信して、アクセス許可を得た場合にアクセス処理を行うようにしてもよい。 Also, when accessing various service providing servers (for example, 31, 32, 33, 34, etc. in FIG. 8) managed by the authentication server, an authentication request is transmitted to the authentication server together with authentication terminal identification information, and access is performed. Access processing may be performed when permission is obtained.
2−3−6. その他
上記実施の形態では、認証サーバ10が画像コードを生成する場合について説明したが、これに限られない。認証サーバ10は、認証情報と画像コード生成コマンド等の画像コードを第1の端末に表示させるための画像コード情報として送信する構成でもよい。そして、画像コード情報を受信した第1の端末が、認証情報に基づいて画像コードを生成してもよい。
2-3-6. Others In the above embodiment, the case where the
また上記実施の形態では、画像コードに含まれる認証情報の判定は認証サーバが行う場合を例にとり説明したが第2の端末20−2が画像コードに含まれる認証情報の判定を行う構成でもよい。 Further, in the above embodiment, the case where the authentication information included in the image code is determined by the authentication server has been described as an example, but the second terminal 20-2 may determine the authentication information included in the image code. .
例えば、前記第2の端末20−2は、取得した画像コードをデコードして認証情報を取得し、認証情報がユーザ情報を含む場合には、現在ログイン中のユーザIDに対応するものであるか否か判断し、対応することを条件に、認証用端末識別情報の登録要求を行うようにしてもよい。 For example, the second terminal 20-2 decodes the obtained image code to obtain the authentication information. If the authentication information includes the user information, does the second terminal 20-2 correspond to the currently logged-in user ID? A determination may be made as to whether or not the authentication terminal identification information is to be registered, on the condition that it is handled.
また前記第2の端末20−2は、取得した画像コードをデコードして認証情報を取得し、認証情報が第2の鍵(公開鍵暗号方式の秘密鍵)に基づく電子認証情報を含む場合、第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、認証用端末識別情報の登録要求を行うようにしてもよい。 Further, the second terminal 20-2 decodes the obtained image code to obtain authentication information, and when the authentication information includes electronic authentication information based on a second key (a secret key of a public key cryptosystem), It may be determined whether or not the key corresponds to the second key, and a registration request for the terminal identification information for authentication may be made on condition that the key corresponds to the second key.
また、上記実施形態では、ユーザID・パスワード判定処理の例として、認証サーバが、予め認証データベースに格納されているパスワードを用いて判定する処理を説明したが、認証データベースにパスワードを格納しないで、他のシステムにユーザID・パスワード判定処理を委任するようにしてもよい。 Further, in the above-described embodiment, as an example of the user ID / password determination process, the authentication server determines the process using the password stored in the authentication database in advance. However, without storing the password in the authentication database, The user ID / password determination process may be delegated to another system.
10 認証サーバ、11 認証データベース、100 処理部、111 通信制御部、
112 判断部、112A 第1の判断部、112B 第2の判断部、
112C 第3の判断部、113 グループ判定部、114 認証判定部、116 画像コード情報送信処理部、118 登録処理部、170 記憶部、180 情報記憶媒体、20 端末、20−1 第1の端末、20−2 第2の端末、200 処理部、210 Webブラウザ、210 専用Webブラウザ、211 通信制御部、220 入力部、250 撮影部、270 記憶部、280 情報記憶媒体、
290 表示部、50 ダウンロードが禁止されたWebブラウザ
10 authentication server, 11 authentication database, 100 processing unit, 111 communication control unit,
112 determination unit, 112A first determination unit, 112B second determination unit,
112C third determination unit, 113 group determination unit, 114 authentication determination unit, 116 image code information transmission processing unit, 118 registration processing unit, 170 storage unit, 180 information storage medium, 20 terminal, 20-1 first terminal, 20-2 second terminal, 200 processing unit, 210 Web browser, 210 dedicated Web browser, 211 communication control unit, 220 input unit, 250 shooting unit, 270 storage unit, 280 information storage medium,
290 Display part, 50 Web browser prohibited from downloading
Claims (10)
前記第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記第1の端末の正当性に関する端末正当性条件を判断し、前記ユーザID・パスワード条件及び前記端末正当性条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から認証用端末識別情報の登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する画像コード条件を判断し、前記ユーザID・パスワード条件及び前記画像コード条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する処理を行う登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記処理
要求とともに受信した認証用端末識別情報の正当性に関する認証用端末識別情報条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する画像コード条件を判断し、前記ユーザID・パスワード条件、前記認証用端末識別情報条件、及び前記画像コード条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、を含む認証サーバ。 An authentication server connected to a first terminal, a second terminal, and a network,
Upon receiving an image code transmission request from the first terminal, a user ID / password condition relating to the validity of the user ID and password received together with the image code transmission request, and a terminal validity condition relating to the validity of the first terminal If the user ID / password condition and the terminal validity condition are satisfied, authentication information is generated, and image code information for displaying the authentication information as an image code is transmitted to the image code transmission request source. Image code information transmission processing means for transmitting to one terminal;
Upon receiving a registration request for terminal identification information for authentication from the second terminal, a user ID and a password condition relating to the validity of the user ID and password received with the registration request, and an image code for authentication received with the registration request Determining the image code condition relating to the validity of the information, determining that the registration requirement is satisfied if the user ID / password condition and the image code condition are satisfied, and determining the authentication received from the second terminal. Registration processing means for performing a process of registering the terminal identification information for use in the authentication database,
When a given processing request is received from the second terminal, the user ID and the password condition relating to the validity of the user ID and the password received with the given processing request, and the authentication terminal identification information received with the processing request The authentication terminal identification information condition relating to the validity of the information, and the image code condition relating to the validity of the authentication image code information received together with the processing request are determined, and the user ID / password condition and the authentication terminal identification information condition are determined. And an authentication processing unit that determines that the processing requirement is satisfied when the image code condition is satisfied, and permits the given processing request.
前記画像コード情報送信処理手段は、
前記第1の端末の送信元のアドレス情報が予め記憶部に記憶されたアドレス情報と一致するか否かを判断し、前記アドレス情報が一致した場合に前記端末正当性条件を満たすと判断することを特徴とする認証サーバ。 In claim 1,
The image code information transmission processing means,
Determining whether the address information of the transmission source of the first terminal matches the address information stored in the storage unit in advance, and determining that the terminal validity condition is satisfied if the address information matches; An authentication server characterized by the above-mentioned.
前記画像コード情報送信処理手段は、
前記第1の端末から送信されたワンタイムパスワードが予め記憶部に記憶されたワンタイムパスワードと一致するか否かを判断し、前記ワンタイムパスワードが一致した場合に前記端末正当性条件を満たすと判断することを特徴とする認証サーバ。 In claim 1 or 2,
The image code information transmission processing means,
It is determined whether the one-time password transmitted from the first terminal matches the one-time password stored in the storage unit in advance, and when the one-time password matches, the terminal validity condition is satisfied. An authentication server characterized by determining.
前記画像コード情報送信処理手段は、
前記第1の端末から送信された証明情報が予め記憶部に記憶された証明情報と一致するか否かを判断し、前記証明情報が一致した場合に前記端末正当性条件を満たすと判断することを特徴とする認証サーバ。 In any one of claims 1 to 3,
The image code information transmission processing means,
Determining whether the proof information transmitted from the first terminal matches the proof information stored in the storage unit in advance, and determining that the terminal validity condition is satisfied when the proof information matches. An authentication server characterized by the above-mentioned.
前記画像コード情報送信処理手段は、
前記第1の端末から送信されたSSLクライアント証明書が正当であるか否かを判断し、前記SSLクライアント証明書が正当と判断した場合に前記端末正当性条件を満たすと判断することを特徴とする認証サーバ。 In any one of claims 1 to 4,
The image code information transmission processing means,
Determining whether the SSL client certificate transmitted from the first terminal is valid; and determining that the terminal validity condition is satisfied when the SSL client certificate is determined to be valid. Authentication server to perform.
前記画像コード情報送信処理手段は、
前記画像コード送信要求に対応して第1の鍵情報を含む認証情報を生成し、認証情報に基づき前記画像コード情報を生成するとともに、前記第1の鍵情報を送信済み第1の鍵情報として記憶部に保管し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記画像コード条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる前記第1の鍵情報が前記送信済み第1の鍵情報と一致するか否か判断し、一致するものであることを条件に、前記画像コード条件を満たしていると判断することを特徴とする認証サーバ。 In any one of claims 1 to 5,
The image code information transmission processing means,
Generating authentication information including first key information in response to the image code transmission request, generating the image code information based on the authentication information, and using the first key information as transmitted first key information. Store in storage,
The registration processing means,
It is determined whether or not the first key information included in the information of the authentication image code received with the registration request matches the transmitted first key information. Judge that the image code conditions are satisfied,
The authentication processing means,
It is determined whether or not the first key information included in the information of the authentication image code received with the given processing request matches the transmitted first key information. An authentication server, which determines that the condition satisfies the image code condition.
前記画像コード情報送信処理手段は、
前記画像コード送信要求とともに受信したユーザIDに対応したユーザ特定情報を含む認証情報を生成し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記画像コード条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれるユーザ特定情報が、受信したユーザIDに対応するものであるか否か判断し、対応するものであることを条件に、前記画像コード条件を満たしていると判断することを特徴とする認証サーバ。 In any one of claims 1 to 6,
The image code information transmission processing means,
Generating authentication information including user identification information corresponding to the user ID received with the image code transmission request;
The registration processing means,
It is determined whether or not the user identification information included in the information of the authentication image code received with the registration request corresponds to the received user ID, and on the condition that the user identification information corresponds to the received user ID. Judging that the conditions are met,
The authentication processing means,
It is determined whether or not the user identification information included in the information of the authentication image code received together with the given processing request corresponds to the received user ID. An authentication server that determines that the image code condition is satisfied.
前記画像コード情報送信処理手段は、
前記認証サーバに対応付けられた第2の鍵に基づく電子認証情報を含む認証情報を生成し、
前記登録処理手段は、
前記登録要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記画像コード条件を満たしていると判断し、
前記認証処理手段は、
前記所与の処理要求とともに受信した認証用の画像コードの情報に含まれる第2の鍵に基づく電子認証情報が、前記認証サーバに対応付けられた第2の鍵に対応するものであるか否か判断し、対応するものであることを条件に、前記画像コード条件を満たしていると判断することを特徴とする認証サーバ。 In any one of claims 1 to 7,
The image code information transmission processing means,
Generating authentication information including electronic authentication information based on a second key associated with the authentication server;
The registration processing means,
It is determined whether the electronic authentication information based on the second key included in the authentication image code information received with the registration request corresponds to the second key associated with the authentication server. It is determined that the image code condition is satisfied, provided that the image code condition is satisfied.
The authentication processing means,
Whether the electronic authentication information based on the second key included in the information of the authentication image code received together with the given processing request corresponds to the second key associated with the authentication server An authentication server that determines that the image code condition is satisfied, provided that the image code condition is satisfied.
前記第1の端末は、
受け付けたユーザIDとパスワードとともに前記認証サーバに画像コード送信要求を送信する画像コード送信要求手段と、
前記画像コード送信要求に対応して前記認証サーバが送信した画像コード情報を受信して、当該画像コード情報に基づき画像コードを表示部に表示する画像コード表示処理手段と、を含み、
前記第2の端末は、
前記画像コードを撮影する撮影手段と、
撮影された前記画像コード又は当該画像コードを解読して取得した認証情報の少なくとも一部を含む認証用の画像コードの情報と、自機の認証用端末識別情報と、受け付けたユーザIDとパスワードとともに、前記認証用端末識別情報の登録要求を前記認証サーバに送信する登録要求手段と、を含み、
前記認証サーバは、
前記第1の端末から前記画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記第1の端末の正当性に関する端末正当性条件を判断し、前記ユーザID・パスワード条件及び前記端末正当性条件を満たしている場合に認証情報を生成し、当該認証情報を画像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から前記登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する画像コード条件を判断し、前記ユーザID・パスワード条件及び前記画像コード条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記処理
要求とともに受信した認証用端末識別情報の正当性に関する認証用端末識別情報条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する画像コード条件を判断し、前記ユーザID・パスワード条件、前記認証用端末識別情報条件、及び前記画像コード条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段とを含む認証システム。 An authentication system using a first terminal, a second terminal, and an authentication server,
The first terminal comprises:
Image code transmission requesting means for transmitting an image code transmission request to the authentication server together with the accepted user ID and password;
Image code display processing means for receiving image code information transmitted by the authentication server in response to the image code transmission request, and displaying an image code on a display unit based on the image code information,
The second terminal,
Photographing means for photographing the image code;
The information of the image code for authentication including at least a part of the captured image code or the authentication information obtained by decoding the image code, the terminal identification information for authentication of the own device, and the received user ID and password together with Registration request means for transmitting a registration request for the authentication terminal identification information to the authentication server,
The authentication server,
Upon receiving the image code transmission request from the first terminal, the user ID and password conditions relating to the validity of the user ID and the password received together with the image code transmission request, and the terminal validity relating to the validity of the first terminal Determining a condition, generating authentication information when the user ID / password condition and the terminal validity condition are satisfied, and transmitting image code information for displaying the authentication information as an image code to the image code transmission request source; Image code information transmission processing means for transmitting to the first terminal;
When the registration request is received from the second terminal, the user ID and the password condition regarding the validity of the user ID and the password received together with the registration request, and the validity of the information of the authentication image code received together with the registration request The image code condition is determined, and when the user ID / password condition and the image code condition are satisfied, it is determined that the registration requirement is satisfied, and the authentication terminal identification information received from the second terminal is determined. Registration processing means for registering in the authentication database;
When a given processing request is received from the second terminal, the user ID and the password condition relating to the validity of the user ID and the password received with the given processing request, and the authentication terminal identification information received with the processing request The authentication terminal identification information condition relating to the validity of the information, and the image code condition relating to the validity of the authentication image code information received together with the processing request are determined, and the user ID / password condition, the authentication terminal identification information condition And an authentication processing unit that determines that the processing requirement is satisfied when the image code condition is satisfied, and permits the given processing request.
前記第1の端末から画像コード送信要求を受信すると、前記画像コード送信要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記第1の端末の正当性に関する端末正当性条件を判断し、前記ユーザID・パスワード条件及び前記端末正当性条件を満たしている場合に認証情報を生成し、当該認証情報を画
像コードとして表示させるための画像コード情報を画像コード送信要求元の第1の端末に送信する画像コード情報送信処理手段と、
前記第2の端末から登録要求を受信すると、前記登録要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記登録要求とともに受信した認証用の画像コードの情報の正当性に関する画像コード条件を判断し、前記ユーザID・パスワード条件及び前記画像コード条件を満たしている場合に、登録要件を満たしていると判断し、前記第2の端末から受信した認証用端末識別情報を認証データベースに登録する登録処理手段と、
前記第2の端末から所与の処理要求を受信すると、前記所与の処理要求とともに受信したユーザIDとパスワードの正当性に関するユーザID・パスワード条件、及び前記処理
要求とともに受信した認証用端末識別情報の正当性に関する認証用端末識別情報条件、及び前記処理要求とともに受信した認証用の画像コードの情報の正当性に関する画像コード条件を判断し、前記ユーザID・パスワード条件、前記認証用端末識別情報条件、及び前記画像コード条件を満たしている場合に、処理要件を満たしていると判断し、前記所与の処理要求を許可する認証処理手段と、してコンピュータを機能させることを特徴とするプログラム。 A program for an authentication server connected to a first terminal, a second terminal, and a network,
Upon receiving an image code transmission request from the first terminal, a user ID / password condition relating to the validity of the user ID and password received together with the image code transmission request, and a terminal validity condition relating to the validity of the first terminal If the user ID / password condition and the terminal validity condition are satisfied, authentication information is generated, and image code information for displaying the authentication information as an image code is transmitted to the image code transmission request source. Image code information transmission processing means for transmitting to one terminal;
When a registration request is received from the second terminal, a user ID and a password condition relating to the validity of the user ID and the password received together with the registration request and the validity of the information of the authentication image code received together with the registration request are determined. The image code condition is determined, and when the user ID / password condition and the image code condition are satisfied, it is determined that the registration requirement is satisfied, and the authentication terminal identification information received from the second terminal is authenticated. Registration processing means for registering in the database;
When a given processing request is received from the second terminal, the user ID and the password condition relating to the validity of the user ID and the password received with the given processing request, and the authentication terminal identification information received with the processing request The authentication terminal identification information condition relating to the validity of the information, and the image code condition relating to the validity of the authentication image code information received together with the processing request are determined, and the user ID / password condition and the authentication terminal identification information condition are determined. And a program that, when the image code condition is satisfied, determines that the processing requirement is satisfied, and causes the computer to function as authentication processing means for permitting the given processing request.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018230779A JP6653368B2 (en) | 2018-12-10 | 2018-12-10 | Authentication server, authentication system and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018230779A JP6653368B2 (en) | 2018-12-10 | 2018-12-10 | Authentication server, authentication system and program |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017136941A Division JP6532505B2 (en) | 2017-07-13 | 2017-07-13 | Authentication server, authentication system and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019075140A JP2019075140A (en) | 2019-05-16 |
| JP6653368B2 true JP6653368B2 (en) | 2020-02-26 |
Family
ID=66544271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018230779A Active JP6653368B2 (en) | 2018-12-10 | 2018-12-10 | Authentication server, authentication system and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6653368B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115021994A (en) * | 2022-05-26 | 2022-09-06 | 深圳Tcl新技术有限公司 | Identity authentication method and device, electronic equipment and computer readable storage medium |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004070814A (en) * | 2002-08-08 | 2004-03-04 | Nec Corp | Server security management method, device and program |
| JP2005269571A (en) * | 2004-03-22 | 2005-09-29 | Nec Corp | Terminal registration system, terminal registration method, and terminal registration server |
| JP2009230695A (en) * | 2008-03-25 | 2009-10-08 | Oki Electric Ind Co Ltd | Business establishment management server, branch office authentication device, branch office processing terminal, opening system of branch office and program |
-
2018
- 2018-12-10 JP JP2018230779A patent/JP6653368B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019075140A (en) | 2019-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10979227B2 (en) | Blockchain ID connect | |
| EP3525415B1 (en) | Information processing system and control method therefor | |
| JP6929181B2 (en) | Devices and their control methods and programs | |
| US10484372B1 (en) | Automatic replacement of passwords with secure claims | |
| JP2019046059A (en) | Delegation-of-authority system, control method and program | |
| JP2004185623A (en) | Method and system for authenticating user associated with sub-location in network location | |
| CN101809585A (en) | Password management | |
| JP5991817B2 (en) | Network system | |
| JPWO2019239591A1 (en) | Authentication system, authentication method, application provider, authentication device, and authentication program | |
| JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
| JP7196241B2 (en) | Information processing device, control method, and program | |
| JP2007065869A (en) | Service providing server, authentication server and authentication system | |
| JP6178112B2 (en) | Authentication server, authentication system and program | |
| US20160205091A1 (en) | Information processing system, control method of information processing apparatus, and storage medium | |
| JP6653368B2 (en) | Authentication server, authentication system and program | |
| JP6532505B2 (en) | Authentication server, authentication system and program | |
| WO2019234801A1 (en) | Service provision system and service provision method | |
| JP7043480B2 (en) | Information processing system and its control method and program | |
| JP5793593B2 (en) | Network authentication method for securely verifying user identification information | |
| JP2012008727A (en) | User authentication method | |
| Baker | OAuth2 | |
| JP7408065B2 (en) | File management system, information processing device, program and information processing method | |
| JP2006004321A (en) | Security system | |
| KR20190019317A (en) | Server and method for authentication in on-demand SaaS aggregation service platform | |
| KR101987579B1 (en) | Method and system for sending and receiving of secure mail based on webmail using by otp and diffie-hellman key exchange |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190109 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190109 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191029 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200107 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200127 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6653368 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |